跳到主要内容

AI 自主性风险分级清单

一句话摘要:把自主性审批边界那条原则落成一张能直接用的表。别给 AI 一刀切的自主度——按可逆性 × 爆炸半径 × 数据敏感度给每类操作定档:低风险自动放行,高风险强制人审,不可逆的先 dry-run。照着填进你的 settings 与 hooks。

分级表(按风险定审批要求)

档位操作类别(示例)审批要求
🟢 自动放行读代码 / 文档;改注释、测试、文案;本地格式化;跑只读命令自动执行,仅事后通知
🟡 暂停问我装 / 升依赖;改 CI / 构建配置;跨多文件大改;调用付费 / 外部 API执行前停下来等确认
🔴 强制人审 + dry-run删数据 / 表 / 文件;改生产环境 / 配置;数据迁移;git push --force;对外发送数据先打印「将要做什么」,人确认后才执行;留审批轨迹

判据:三个维度(可逆性 / 爆炸半径 / 数据敏感度)任一为高 → 至少 🟡;不可逆且爆炸半径大 → 🔴。拿不准就往高里归。

怎么用

  • 把档位落成机制,别只写在提示里。 🟢 进 allow、🟡 进 ask、🔴 进 deny 或强制确认的 hook(配套 权限配置模板)——散文规则 AI 只是大概率遵守,确定性的门它绕不过去。
  • 🔴 档必留审批轨迹:谁批了 / 谁否了 / 当时上下文,记进一条不可篡改的日志,便于事后复盘与合规。
  • 自主度随信任演进,🔴 门常设。 你可以随 AI 在某类任务上证明自己而调高整体自主度,但「碰不可逆 / 碰生产 / 对外发数据要人审」不随信任松动——它防的是后果,不是能力。

适用边界

适合什么时候用

  • 给 AI 开了自动执行 / 较高自主度,且它够得着真实系统(生产、数据、凭据、对外网络)。
  • 团队要一份「哪类操作允许 AI 自己做、哪类必须人点头」的成文策略。

不适合什么时候用

  • 一次性沙箱 / 可丢弃环境里的探索——风险被环境兜住时(见沙箱隔离),拉满审批门是纯摩擦。
  • 纯只读、连不到真实系统的任务——没有「不可逆动作」可分级。

使用前请替换

  • 把「操作类别」换成你项目里真实的高危动作(你的部署命令、你的数据迁移工具名、你的生产标识)。
  • 按你的爆炸半径定义调整档位归属——同一个命令在不同项目里的风险可能不同。
  • 把 🔴 档接到你真实的审批 / 留痕系统(审计日志、双人确认等)。