AI 自主性风险分级清单
一句话摘要:把自主性审批边界那条原则落成一张能直接用的表。别给 AI 一刀切的自主度——按可逆性 × 爆炸半径 × 数据敏感度给每类操作定档:低风险自动放行,高风险强制人审,不可逆的先 dry-run。照着填进你的
settings与 hooks。
分级表(按风险定审批要求)
| 档位 | 操作类别(示例) | 审批要求 |
|---|---|---|
| 🟢 自动放行 | 读代码 / 文档;改注释、测试、文案;本地格式化;跑只读命令 | 自动执行,仅事后通知 |
| 🟡 暂停问我 | 装 / 升依赖;改 CI / 构建配置;跨多文件大改;调用付费 / 外部 API | 执行前停下来等确认 |
| 🔴 强制人审 + dry-run | 删数据 / 表 / 文件;改生产环境 / 配置;数据迁移;git push --force;对外发送数据 | 先打印「将要做什么」,人确认后才执行;留审批轨迹 |
判据:三个维度(可逆性 / 爆炸半径 / 数据敏感度)任一为高 → 至少 🟡;不可逆且爆炸半径大 → 🔴。拿不准就往高里归。
怎么用
- 把档位落成机制,别只写在提示里。 🟢 进
allow、🟡 进ask、🔴 进deny或强制确认的 hook(配套 权限配置模板)——散文规则 AI 只是大概率遵守,确定性的门它绕不过去。 - 🔴 档必留审批轨迹:谁批了 / 谁否了 / 当时上下文,记进一条不可篡改的日志,便于事后复盘与合规。
- 自主度随信任演进,🔴 门常设。 你可以随 AI 在某类任务上证明自己而调高整体自主度,但「碰不可逆 / 碰生产 / 对外发数据要人审」不随信任松动——它防的是后果,不是能力。
适用边界
适合什么时候用
- 给 AI 开了自动执行 / 较高自主度,且它够得着真实系统(生产、数据、凭据、对外网络)。
- 团队要一份「哪类操作允许 AI 自己做、哪类必须人点头」的成文策略。
不适合什么时候用
- 一次性沙箱 / 可丢弃环境里的探索——风险被环境兜住时(见沙箱隔离),拉满审批门是纯摩擦。
- 纯只读、连不到真实系统的任务——没有「不可逆动作」可分级。
使用前请替换
- 把「操作类别」换成你项目里真实的高危动作(你的部署命令、你的数据迁移工具名、你的生产标识)。
- 按你的爆炸半径定义调整档位归属——同一个命令在不同项目里的风险可能不同。
- 把 🔴 档接到你真实的审批 / 留痕系统(审计日志、双人确认等)。