作者：Anton Chuvakin

时间：2025 年 09 月 15 日

原文：https://medium.com/@anton.chuvakin/the-gravity-of-process-why-new-tech-never-fixes-broken-process-and-can-ai-change-it-ee0ba3c58ade

让我们直面一个老问题：新技术能否修复坏掉的、或缺失的流程？

然后再加一句：当 AI 和 AI 代理（AI agents）出现时，你的答案会改变吗？

这是我最近和一些朋友、几个 AI，以及我自己争论的问题。语境当然是在网络安全领域，但我怀疑其中的一些经验教训具有更普遍的意义。

起点：基于我在信息安全（InfoSec）到网络安全（CyberSec）的所有经历，我的默认答案是：“不，技术无法修复流程失败。”
这是我“理性”的答案（基于历史数据的观察），也与我“直觉”的答案相吻合（基于亲身经历的体感）。

但这个答案在 2025 年依然成立吗？

让我们展开辩论。

立场：没有任何新技术能修复坏掉或缺失的流程

技术只是流程的执行者，它永远是流程的“仆人”，而不是“主导者”。这一点也许并非绝对，但现实基本上就是如此。

• 自动化坏流程 = 自动化的坏结果。
  很多人自动化了一个糟糕的流程，最后得到的只是一套更糟糕的自动化坏流程。工具会忠实、漂亮地执行底层的“混乱逻辑”。

  举例来说：如果你的安全事件响应（IR）流程本身就是一团乱，那么买一个 SOAR 平台（Security Orchestration, Automation, and Response）只会让你以机器速度执行那团混乱。错误的警报发给错误的人，错误地隔离机器，错误地在系统里开单子——效率惊人，但错得更快。

• 没有流程，工具就被闲置。
  很多组织买了支持流程执行的工具，但由于流程根本不存在，工具只能吃灰（典型如 SIEM、SOAR、IT GRC、CSPM 等）。

• 有些工具是为了“提速”，不是“造路”。
  比如 IT GRC 用于风险管理，优化流程效率。但如果你根本没流程，它啥也做不了。

• 流程成熟度不足，工具无用武之地。
  比如，有些团队还在“日志都没收集全”的阶段，就去买支持高级威胁狩猎（threat hunting）的工具，结果可想而知：闲置、无价值。

• 坏流程通常不是技术问题。
  它是人的问题、文化的问题、政治的问题。典型表现：团队割裂不沟通、缺乏责任感、文化中充斥“这不是我的工作”。
  再先进的 GRC 平台也修复不了一个拒绝承担安全风险的业务部门。技术解决不了人的问题。坏流程往往是组织文化失灵的症状。工具最终沦为“数字化的失败纪念碑”。（Gemini：这比喻真妙！）

• 新技术常被“旧流程”驯化。
  有时，工具本来是买来改善流程的，但结果反而是新技术被迫模仿旧的、坏的工作流。
  例如，买了一套带 AI 的前沿 SIEM，却依旧只是用来做日志搜索、生成 PDF 日报，完全复刻老旧的日志管理工具。所谓“流程即重力”，再次显灵。

• 最终，组织甩锅给工具。
  当新工具（被坏流程和有毒文化束缚）无法创造奇迹时，组织通常怪罪工具本身——
  “都是 SIEM 的错，它产生了太多误报！”

立场：新技术可能改进坏流程，甚至替代缺失的流程

确实存在一些案例：人工流程与工具支持下的流程之间有着天壤之别。你甚至可以说，人工流程根本“不可能实现”，而工具的引入创造了全新的流程。这是客观现实。

有些现代技术，如果不改变流程，根本没法实施。
举个例子：你想靠一个每月开一次会的变更评审委员会（CAB, Change Advisory Board）来保护 CI/CD 流水线？简直可笑。
采用 DevSecOps 工具，迫使你必须把安全检查嵌入到流水线本身，从而彻底打破旧的、缓慢的流程。

换句话说：技术可以创造一种新的操作现实，流程要么被迫适应，要么就会被彻底绕过、淘汰。旧的方式根本无法继续存在。

技术照出旧流程的“破败”

很多过时流程之所以能苟延残喘，是因为它们的“坏”被隐藏了。
但当一种新的、更强大的技术出现时，就能把低效赤裸裸地暴露出来。

比如：

• 当一款 CSPM（Cloud Security Posture Management，云安全态势管理） 工具显示你有成千上万个严重错误配置，而人工审计多年来一直没发现，这就提供了无可辩驳的证据和“政治筹码”。

• 在这种情况下，人类会据此杀掉旧流程，并建立新的自动化流程。（注意：改流程的是人，而不是工具本身！）

技术重塑流程

还有一种情况是，工具直接“缩短”了流程步骤：原来需要人工完成 5 件事，现在只要手动做 2 件，剩下交给工具。工具本质上改变了流程形态。

再比如，一个优秀的流程可能过于复杂，让初级分析师难以执行。
但一款设计良好的 SOAR（Security Orchestration, Automation, and Response）平台，配合完善的剧本（playbook），或者一个具备动态剧本的 AI SOC（安全运营中心），可以把最佳实践封装进去。
这样一来，技术就成了最佳实践的“容器”，把原本“手工艺式”的精细工作，转变为可靠的、工业化的产出。（再次感谢 Gemini 的比喻！）

有时，工具直接取代流程

一个很典型的例子依然是 CI/CD 流水线中的安全：

• 过去，你需要一套复杂的流程才能实现目标 X；

• 而现在，一款显著改进的工具可以直接给你目标 X，根本不需要额外的流程。

在这个意义上，工具直接替代了流程。

那么问题来了：这算坏事吗？

结论

在审视了所有论点之后，我依然会投“否决票”：技术无法修复坏掉的或缺失的流程。最终，流程总是胜利者。
当然，这往往是一种悲剧式的、皮洛士式的胜利，但归根结底仍然是胜利。

流程就像重力；技术则像一台引擎，试图冲出地心引力。即便再强大的引擎，也会面临重力的无情拉扯。
只要引擎稍一熄火——比如项目负责人离职、预算被砍、注意力转向下一个危机——重力就会立刻把那套“闪亮的新技术”拉回到旧的、舒适的运行轨道里。

在许多（大多数？）大型组织中，惯性才是最强大的力量：静止的组织倾向于保持静止。
一个坏流程，尽管千疮百孔，但毕竟是“已知量”。人们的习惯、各自的小隔间或庞大帝国、各种变通手法，都是建立在它之上的。
而新工具意味着付出努力、学习成本、改变行为。在“做点新东西”和“继续昨天那一套”的对抗中，后者几乎总是赢。

AI 与 AI 代理的角色

新的问题是：AI，尤其是 AI 代理（AI agents），能否在这场博弈中“偷偷把手指放到天平上”，改变结果，让工具真正承载流程？

这里的答案很有意思。
先给没耐心的人一句话总结：理论上，AI 代理可以替代流程，因为你可以要求代理去规划流程、执行流程，并且坚持下去。

——当然，这是在“理论上”。

那么，现实呢？

• AI 代理是否真的会改变这场平衡？

• 它们会不会强到足以让“YES”真正发生？

• 在“AI 代理 vs 组织惯性”的较量中，谁会赢？

区别在于：传统工具只是在人工定义的流程里自动化某个环节；而AI 代理可以（理论上）创建、优化并自动化整个流程，包括推理与决策。
代理的使命不是沿着旧路走，而是分析地形，找到通往目标的最快路径，哪怕要开辟一条全新的道路。

• “自动化愚蠢”的风险理论上减少了。
  脚本会不加质疑地自动化坏流程，但 AI 代理可以被设计成对目标进行推理。如果目标看起来不合理或自相矛盾，它可以标记出来，甚至请求澄清。
  风险也就从“自动化坏流程”转移到“代理学到错误的经验”或“目标定义有问题”。

• “牛径铺路”的风险几乎消失。
  AI 代理通常天生追求优化。强迫它遵循低效、笨拙的人类工作流，就像让一辆自动驾驶汽车听信后座乘客的“捷径”偏好。代理会不断尝试寻找并使用最优路径，而这几乎总是通过 API，而不是靠一串人工审批。

然而，若要真正回答“是的，有了 AI 代理，技术可以修复坏的或缺失的流程”，仍有两大风险挡在前面：

1. 能力问题 ——前面说的都是理论，在充满遗留系统、复杂现实的环境里，它真的行得通吗？

2. 信任问题 ——假设它真的能行，人们会相信它吗？

AI 代理理论上确实有摧毁旧流程、重建并自动化新流程的原始力量。但在现实里，它们可能因为错误和不完整的数据而翻车（这在“千层蛋糕式”的遗留系统环境里很常见）。更关键的是，它们引入了一个新的、更棘手的人类因素：信任。

总之，换句话说：
两年后再问我吧。