这个 Blog 解释的很清楚：http://blog.xdite.net/posts/2012/07/30/cancan-rule-engine-authorization-based-library-2/

主要是 CanCan 不支持 Rails4 的 Strong-Parameters, create 会出这个错 ActiveModel::ForbiddenAttributesError。我把 CanCan 迁移成 CanCanCan 什么都没改，就把 Gemfile 更新了。