认知超负荷 vs 自动化：当智能系统让人类更愚蠢

Source: Dev.to

每个人都在说自动化会拯救你的工厂——错误更少、响应更快、对人工操作员的依赖更低。

但真相是，没有人愿意大声说出来：如果你在设计和部署“智能”系统时不理解真实的人类在压力下是如何思考和工作的，你并不是在构建安全，而是在制造陷阱。你的工具越复杂、越嘈杂，操作员误读警报、忽视正确信号、点错按钮的可能性就越大，进而把小事件演变成大规模事故。

你的问题不仅是威胁和恶意软件。你的问题是人类与自动化在控制室的碰撞方式。

神话——自动化可以消除人为错误

供应商会卖一个简单的故事：增加更多仪表盘、更多警报、更多分析，一切就会变得“更安全”“更有韧性”。在运营技术环境中，这个故事很快就会崩塌。操作员不会因为你装上了另一个监控平台而变得超人。他们仍然面临注意力有限、疲劳和压力——现在还有更多的屏幕、更多的警报以及更多“紧急”通知在争夺他们的注意力。

你并没有消除人为错误，只是把它转移了：从“我忘了检查这个仪表”变成了“我在噪声海洋中误读了这个自动警报”。这不是进步，而是新的风险。

控制室中的认知过载

认知过载指的是大脑一次收到的信息、任务和决策超出其处理能力。在控制室，这几乎是日常。

典型情形

• 同时打开十个仪表盘
• 每天数百甚至数千条警报
• 安全、工艺和网络安全警报混杂
• 持续的停机压力
• 长时间轮班；安静的夜班突然变得忙碌

现在再加上一个承诺实时检测、即时关联、持续警报的“智能”系统。

你以为自己交付的： 超强可视化。
实际交付的： 另一条噪声流，必须让人脑去筛选。

结果

• 重要警报被埋没
• 稀有但关键的警告看起来像常规噪声
• 操作员依赖捷径、模式识别和猜测
• 反应时间在最需要加快的时候变慢

系统更聪明，人的负荷更大。整体上，环境变得更脆弱。

当自动化让人类变被动

过度自动化会慢慢训练操作员停止思考。如果系统总是检测、关联并建议行动，操作员会漂移到被动角色：

• “如果重要，系统会进一步升级。”
• “如果真的需要我操作，系统会告诉我该怎么做。”

当出现不符合常规模式的警报，或系统表现出陌生行为时，犹豫就会产生。操作员会等待、反复猜测，假设系统更懂。安全事件中，几分钟甚至几秒的延迟就可能决定损失的严重程度。这就是智能系统让人类变慢、信心下降，而不是更敏锐、更有控制力的方式。

OT 中的人机交互失效

在信息技术领域，误读警报可能意味着服务器被入侵。而在运营技术领域，误读警报可能意味着：

• 过程不稳定
• 设备物理损坏
• 环境影响
• 对真实人员的安全危害

常见失效模式

• 警报泛滥 – 警报太多，操作员在脑中把它们过滤掉，真正危险的警报看起来和其他通知一样。
• 优先级错误 – 安全、工艺和网络安全警报混在一起，没有明确层次，导致无法瞬间识别最重要的内容。
• 语言不清 – 模糊或过于技术化的信息，未说明正在发生什么或有什么风险。
• 视觉设计差 – 屏幕拥挤、字体太小、颜色混乱、信息层级不明。
• 自动化隐藏上下文 – 像“事件已阻止”或“威胁已遏制”之类的消息缺乏细节，使操作员无法了解发生了什么或积累经验。

这些失效都会把操作员逼向猜测、延迟或盲目信任自动化。

攻击者如何利用认知过载

这不仅是可用性问题，更是安全问题。攻击者知道控制室充斥噪声，操作员疲惫，并且他们对注意力的选择性很强。于是他们设计出与现有模式融合的攻击。

示例

• 反复触发低优先级警报，使操作员对该类别麻木。
• 在繁忙的交接班、轮班更替或已知的维护窗口期间发动攻击。
• 制造大量无害警报来埋掉真正重要的警报。
• 利用“工具会捕获它”的假设，采用缓慢、微妙的变化而非剧烈活动。

攻击者不需要在正面交锋中击败你的技术，只需要让你的人员错过关键时刻。

你的问题不是“愚蠢的操作员”，而是“愚蠢的环境”

把责任归咎于用户——“他们不该点那个”“他们不该忽视这个警报”“他们应该遵循流程”——是一种懒惰的思考方式。如果你的控制室被警报淹没，界面混乱，自动化不断对次要事件大喊大叫，那么环境本身就是为失败而设计的。只有当系统对疲惫的大脑在持续压力下要求完美时，人才会成为最薄弱的环节。

你的职责是设计一个环境，使得：

• 正确的操作是最容易的。
• 关键信号立刻突出。
• 自动化支持思考，而不是取代思考。

设计让人类更强而非更弱的自动化

减少，而不是扩大，警报数量

• 积极调优规则。
• 删除冗余通知。
• 将相似警报合并为一个有意义的事件。

目标是更少的、真正需要行动的警报。

让优先级不容错过

• 在安全、工艺和安全警报之间保持清晰的视觉分离。
• 一致使用强烈的优先级层级。
• 使用简明语言，在几秒钟内回答三个问题：
  1. 发生了什么？
  2. 有什么风险？
  3. 如果我们忽视会怎样？

如果操作员必须阅读完整段落才能理解警报，你已经在浪费时间。

暴露上下文，而不仅仅是结果

• “威胁已阻止”在报告中看起来不错，但并未培养人的理解。
• 每次系统检测到异常时都提供上下文：
  • 它来自哪里？
  • 目标是什么？
  • 如果未被阻止会产生什么后果？

你不仅在关闭事件，更在训练人的直觉。

在真实压力下用真实操作员测试系统

• 开展逼真的演练。
• 观察操作员在压力下的真实行为。
• 关注他们犹豫的地方、误读的内容、忽视的因素。

然后改进系统，而不是改造人。

为自动化失效的时刻进行培训

假设智能系统终将出现故障（断电、通信中断、监控方案被攻破、全新攻击手法）。操作员必须知道如何在缺乏完整自动化支持的情况下检测、决策并采取行动。