「隐形」听起来像营销词。它其实是一张工程账单。
在我们第一个月回顾中,我们写过:「治理必须隐形——不是不存在。其他做法都会被绕过。」这句话读起来像个口号。它其实是一张六位数美金的工程账单。我们上周付了其中一块。
我们在现场看到的大多数治理失败——AI 寄出了不该寄的内容、工具调用越过了租户边界、核准队列被一键全部通过——并非因为控管缺席。而是因为控管的摩擦大到操作员每天会绕过它们。控管在那里。它们只是输掉了每天的摩擦战。
上周(2026-04-22 到 2026-04-29)我们交付了六样东西。每一样都磨掉了操作员工作流的特定毛边,同时保留(通常是强化)底层的审计轨迹。这篇文章是这些 PR 上实际发生的事,以及每一个值得做的原因。
1. 那 13 个悄悄绕过核准的快速操作处理器
Concierge——结构 AI 的 AI 副驾,住在每个操作员工作区旁边——当初被连上了 13 个快速操作处理器(草拟回复、撰写跟进、建议状态变更、标记为、暂停排程等)。每一个都是独立的代码路径,可以直接触发动作,因为它们比统一核准队列更早出现。
功能上它们可用。架构上它们是一个 13 个洞那么大的治理漏洞。
修复: 每个 Concierge 触发的动作现在都流经跟平台其他部分一样的黄灯核准流水线。不是新的核准队列——是同一个核准队列。每个动作的阈值(自动执行、黄灯核准、红灯核准)以账号为单位设置;默认值对应每个垂直的风险轮廓。
审计日志的形状保持相同(audit_event 带有相同字段),所以治理检视不需要为「这个从 Concierge 来」做特例。每个进入点——工作流、API、侧栏、电子邮件按钮——产生相同的证据形状。那种一致性才是功能。
2. 「AI 建议、操作员复制粘贴」的反模式
操作员快速操作按钮(那些写着草拟回复、总结对话、撰写跟进的)以前会把 AI 的输出显示在侧栏。操作员复制文字、粘贴到回复栏、编辑一下、发送。
这个模式有三个问题:
- AI 的结构化输出(通常带有意图元数据、来源、置信度)被复制粘贴化约成一个字符串
- 操作员每天执行同样三个按键组合(Cmd-A、Cmd-C、点到编辑器、Cmd-V)几百次
- 没有「操作员接受了 AI 建议」的治理事件——只有「操作员发送了消息」
修复: 快速操作现在端到端执行配方,把结果直接流式到编辑器里。操作员在发送前编辑或直接接受。高风险动作(任何可计费、任何改变状态的)仍会暂停确认。每个快速操作现在底下都是一个有版本、可 A/B bake-off 评估的配方。
辅助模式账号的首次响应时间在第一周下降了 38%。我们没预期到的有趣指标是:操作员强化 AI 草稿(而不是重写)的编辑比例上升了。流式到编辑器让操作员可以改进 AI 的输出,而不是从头开始。一样的治理闸门,更少的键盘敲击。
3. 我们以前用电子邮件收到的品牌语调 JSON 文件
如果客户想要调整品牌语调——禁用词汇、签名区块、句长目标、地区变体——工作流程是:客户写信给我们描述、我们转换成 JSON 配置文件、我们部署、客户等 24-48 小时。
这个工作流程的每一步以前都是功能:「我们替你做」。当客户想要在同一周 A/B 测试两种语调时,它就变成摩擦了。
修复: 品牌语调编辑器现在住在客户后台 /portal/settings/brand-voice。客户用即时左右对比预览(当前 vs. 上一版,对应同一个示例输入)编写自己的配置文件。每次保存产生新的修订;回滚只要一键;现用配置文件会被自动注入到每个面向客户的配方。
不那么明显的胜利是版本历史。客户不再担心「如果我编辑后变更糟,能不能拿回旧版本?」因为答案是可以,两键搞定。可逆性才是摩擦,不是编辑器。
4. 那个要花 30 分钟配对通话才能设置的 LINE 通道
把 LINE Messaging API 通道连到结构 AI 账号以前需要:客户建立 LINE 通道、把通道 ID 和通道密钥复制给我们、我们 SSH 到服务器注册 webhook、我们回信确认、然后客户测试。
顺利时要 30 分钟。出错时(通道密钥不匹配、webhook URL 模式错误、令牌过期)要两天。
修复: /portal/channels/line 的通道接入 UI 跑完整流程:粘贴通道 ID 和通道密钥、UI 验证、注册 webhook、用一个合成消息确认往返。通道密钥用 AES-256-GCM 在静态时加密。Webhook 健康指示器显示最后一次成功传递、重试次数、当前 LINE 通道状态。
90 秒,没有 SSH,没有支持工单。同样的内部流程,过去用来支援我们在台湾与日本的售前演示,现在也支援客户自助接入。我们把自己从通道接入的关键路径移除,但没有移除任何加密或验证。
5. 那个是租户隔离炸弹的「共用 Composio 实体」
直到上周,Composio(250+ 个第三方工具连接器层)使用共用实体模型——连线是以用户为键、不是以结构 AI 账号为键。UI 把这件事藏起来了。Worker 层在实务上尊重边界。但没有架构上的执行说「账号 A 的 HubSpot 令牌无法从账号 B 的配方触及」。边界是一个惯例。
对 SOC 2 Type II 审计来说,「惯例」不是答案。
修复: 每个结构 AI 账号现在在第一次整合连线时自行建立 Composio 实体。令牌、scope、连线状态都以实体 ID 隔离。跨账号泄漏测试加入标准测试套件——一个来自账号 A 的合成动作试图解析到账号 B 拥有的实体会让测试失败、CI 失败、阻挡合并。
这没有 UI。这没有演示。客户唯一会看到的,是审计员在年底的报告。
模式很重要:隔离应该住在实体层,不是 UI 层。 UI 会说谎。Worker 会 fail-open。实体层级的数据加上 CI 强制的跨租户测试,是唯一在审计员问「你怎么证明?」时能撑住的架构。
6. 那个让主管花 4 分钟才能打开的核准
AI 提案了一笔可计费的时间记录。主管收到一个 Slack 通知说「需要核准」。她点链接、被 bounced 到 SSO、输入密码、按 2FA、进到核准页面、读条目、点核准。4 分钟。 现在乘以一天 4 个 MSP 技师、各 30 次。
这 4 分钟不是因为任何人慢。是因为核准的路径要求一个完整的身份仪式,而它功能上只是一个「赞」。
修复: 主管的电子邮件包含核准和拒绝按钮,这两个按钮就是核准。每个按钮的 URL 是一个 JWT 签章、有时效、单次使用的链接,绑到特定的核准 ID 和核准者的电子邮件。幂等(按两次核准只送出一次)。审计等价(同样 approval_event 形状;进入点字段写 email_button 给治理报告用)。拒绝会开启一行的表单捕捉原因。
密码学做了 SSO + 2FA 过去做的工作。信任没有变弱;它换了位置。 签章链接对单一决定来说是凭证等价。
模式:信任 + 证据 + 对的边界
把这六个重新读一次。模式很一致:
- Concierge 闸门: 信任操作员的意图;证据还是要捕捉(每个 Concierge 动作发出一样的
audit_event) - 快速操作: 信任操作员的编辑;底层配方仍然有版本、被评估、有质量分数
- 品牌语调编辑器: 信任客户写自己的语调;每次保存是一个有版本、可回滚的修订
- LINE 凭证: 信任通道密钥加密(AES-256-GCM 静态加密、保存时验证往返),不再信任 SSH 到服务器的仪式
- 账号层级 Composio: 信任实体边界(架构上强制、CI 测试),不再信任 UI
- 收件箱核准: 信任 JWT(签章、有时效、单次使用),不再信任 SSO-然后-2FA 路径
每个案例里,信任没有变弱——它换到了摩擦更低的层。其中一些信任(密码学、实体层级数据)客观上比它取代的(SSH 仪式、UI 惯例)更强。审计日志变得更丰富,不是更贫瘠。
这就是「隐形治理」实际需要的:在每个操作员或客户碰到平台的地方,你都要问信任能不能住在摩擦更低的某层、同时产出一样的证据? 答案是「能」时你就出货。答案是「不能」时——你保留摩擦,但要在设计文件里欠一个解释。
这改变了我们怎么规划
过了上周,我们规划流程里有两件事不一样了:
- 每个路线图项目现在有「信任层」字段。 这个功能的信任住在哪里?密码学?实体边界?操作员意图?审计日志?如果答案是「UI」,我们会重新设计。
- 每个客户摩擦故事都被重新问成信任换位问题。 不是「我们怎么让这个更快?」而是「信任现在住在哪里,能不能搬到摩擦更低的层?」
这些不是安全工程里的新想法。(如果你还没读,去读 Saltzer & Schroeder, 1975。)但是把它们周复一周应用到每个操作员工作流上,是真正用起来愉快的 AI 平台被建造出来的方式。「隐形治理」这个口号是结果。工作是付那张工程账单,一个发版接一个发版。
上周六个到期。我们预期下周还有六个。
免费开始 → — 或如果你想看八个月付这张账单长什么样子,预约托管服务简报,我们会给你看一个从第一天就被治理-而且-隐形的账号的审计日志。