ERC-4337 的「Paymaster」功能在加密 Agent 場景有什麼特別的用途?
Paymaster 是 ERC-4337 帳戶抽象的一個強大功能,讓第三方可以代替用戶支付 Gas 費。在加密 Agent 場景,這個功能有幾個有趣的應用:
第一,讓 Agent 在無 ETH 的情況下操作穩定幣策略。一個常見的問題是:Agent 的操作錢包需要有 ETH 才能支付 Gas 費,但如果你的策略完全是 USDC/USDT 等穩定幣的操作,你還是需要額外管理 ETH 的餘額。Paymaster 讓你可以設計成「用 USDC 支付 Gas 費」,Agent 不需要持有 ETH。
第二,讓協議方補貼用戶的 Gas 費。如果你在構建一個 Agent 服務平台,你可以設計成「平台方通過 Paymaster 補貼 Agent 的 Gas 費」,作為平台激勵的一部分,降低用戶的使用門檻。
第三,實作更精細的費用管理。Paymaster 合約可以設計成「只補貼特定類型的操作(例如存入 Aave 的 Gas 費),不補貼其他操作」,讓費用補貼的邊界更清楚。
實作注意:Paymaster 本身也需要有安全設計——如果 Paymaster 合約被攻擊或被惡意利用,攻擊者可能讓你的 Paymaster 為大量無效操作支付 Gas 費,快速耗盡 Paymaster 的 ETH 餘額。Paymaster 需要有每日 Gas 費補貼上限和白名單操作類型的設計。
Coinbase AgentKit 和 Privy 的 Agent 錢包方案有什麼不同?選擇時應該考慮哪些因素?
這兩個是目前最常被加密 Agent 開發者選擇的現成 Agent 錢包解決方案,各有不同的設計重點:
Coinbase AgentKit:整合了 Coinbase 的 MPC 技術(私鑰分片,沒有任何一方持有完整私鑰),同時提供了 Base 鏈的深度整合(低 Gas 費、x402 支持)、Claude 和 GPT-4 的 Tool Use 整合、以及 DeFi 協議的預製工具。優勢:企業級 MPC 安全性、Base 鏈最優化、和 Claude/GPT 的深度整合讓 Agent 開發最便利。限制:主要優化在 Base 鏈,如果你需要 Ethereum 主網或 Solana 等其他鏈的深度支持,需要額外工作。
Privy:偏向「消費者應用的內嵌錢包」,讓你可以用 email 或社交帳號登入並獲得一個嵌入式的 MPC 錢包,特別適合需要讓大量普通用戶(不是加密原生用戶)通過你的 App 使用 Agent 的場景。優勢:用戶體驗最好,不需要用戶懂加密錢包;支援多鏈。限制:面向消費者的設計讓它在純 Agent 自主操作的場景功能相對有限;如果你的 Agent 需要完全自主、高頻的鏈上操作,AgentKit 更適合。
選擇建議:如果你在構建 DeFi 策略 Agent、優先在 Base 部署、且開發者技術背景較強,用 Coinbase AgentKit;如果你在構建有大量普通用戶的消費者 Agent 應用(Agent 是功能之一,不是全部),用 Privy。
在多 Agent 架構裡,不同的 Sub-agent 應該共用一個 Agent 錢包,還是每個有自己的錢包?
這個問題的答案取決於每個 Sub-agent 的職責和它需要的操作授權。有幾個設計原則:
建議「共用一個操作錢包」的情況:所有 Sub-agent 只有只讀授權(不需要鏈上簽署),Orchestrator 持有唯一的操作錢包;操作頻率很低,不需要並發執行多個交易。
建議「每個 Sub-agent 獨立錢包」的情況:Sub-agent 的職責高度不同(例如一個管理 DeFi 倉位、一個負責 NFT 操作),各自需要不同的 ERC-20 授權範圍;有高頻並發需求(多個 Sub-agent 同時需要執行鏈上操作,共用錢包可能有 nonce 衝突問題)。
安全性的核心設計原則:不管是共用還是獨立,執行 Sub-agent(有鏈上簽署授權的)的操作錢包,不能被非執行 Sub-agent(只做分析)直接觸及。分析型 Sub-agent 的回傳結果應該通過 Orchestrator 審查後,Orchestrator 才能用操作錢包執行。這讓即使某個分析 Sub-agent 被 Prompt Injection,攻擊者也無法直接觸發執行錢包的操作。
實際的最佳實踐:Orchestrator 持有主操作錢包;對於需要獨立操作的 Sub-agent(例如負責管理特定流動性池的 Sub-agent),給它一個獨立的、有嚴格上限的子錢包(ERC-4337 合約錢包),把每日上限設在這個 Sub-agent 業務範圍內的合理金額。
如果我想讓多個用戶使用同一個 Agent 平台,但每個用戶的資產都完全隔離,應該怎麼設計?
這是構建面向多用戶的加密 Agent 平台時最核心的架構問題,本質上是「如何在同一套系統裡保持每個用戶的資產完全隔離」。幾種主要的設計方案:
方案一:每個用戶完全獨立的 Agent 錢包。每個用戶有自己的 EOA 或合約錢包,平台的 Agent 服務對每個用戶使用完全獨立的私鑰。優點是隔離最徹底;缺點是密鑰管理複雜度隨用戶數線性增長。適合:用戶數量有限(幾百個以內)、用戶資金規模大的機構服務。
方案二:ERC-4337 合約錢包 + 用戶控制的 Signer。每個用戶部署自己的 ERC-4337 合約錢包,用戶是主要 Signer(私鑰不在平台手裡),平台的 Agent 是次要 Signer(只有被授予的有限操作授權)。平台的 Agent 只能在用戶授予的範圍內操作,超出範圍需要用戶的主 Signer 確認。這是最符合「非託管」精神的設計,也是最安全的,但需要用戶有一定的加密技術基礎。
方案三:MPC + 用戶加密分片。用 MPC 技術讓每個用戶的私鑰分片有一部分保存在用戶的設備上,平台持有另一部分,需要兩部分合作才能簽署交易。Privy 和 Web3Auth 提供了這種方案的現成實作。這讓用戶體驗友好(不需要用戶管理私鑰)同時保持了一定的非託管特性(用戶持有分片,平台無法單獨操作)。
選擇建議:如果你的平台目標用戶是有技術背景的 DeFi 用戶,方案二最符合「非託管」的原則;如果目標用戶是加密新手,方案三的用戶體驗更友好。避免方案一加上平台持有全部私鑰的設計——這本質上是全託管,法律和安全責任都集中在平台方。
AI Agent 要在鏈上自主操作,就需要一個「Agent 錢包」——一個讓 Agent 能夠自主簽署和廣播交易的機制。但「Agent 錢包」不是一個單一的解決方案,而是一組設計選擇:私鑰由誰管理?授權範圍多廣?能不能被撤銷?如何防止被攻擊?
這篇文章比較目前主流的四種 Agent 錢包設計方案,每種方案的安全性、成本、實作複雜度各有不同,適合不同規模和風險承受度的場景。
一個常見的初學者設計是:「讓 Agent 直接用我的主錢包私鑰就好,反正都是我的錢。」這個設計有三個根本性的問題:
第一,攻擊面擴大到最大。你的主錢包私鑰接觸了 Agent 系統,一旦 Agent 系統任何環節(MCP Server、LLM 的 API 呼叫日誌、後端服務器)被攻擊洩漏,主錢包的所有資產都暴露了。
第二,授權無法分層。你的主錢包對所有資產有完整的控制權,但 Agent 可能只需要操作其中一部分。用主錢包相當於把完整授權給了 Agent。
第三,無法撤銷 Agent 的操作能力。一旦 Agent 系統出了問題,你無法「只停掉 Agent 的操作能力」而不影響自己的主要資金操作。
專門的 Agent 錢包解決了這三個問題:限制了攻擊面、可以設定精確的操作授權範圍、可以隨時撤銷不影響主錢包。
方案一:獨立 EOA 熱錢包(最簡單,最常見)
設計:為 Agent 生成一個全新的以太坊外部帳戶(EOA),私鑰獨立存儲(不同於主錢包),Agent 持有這個私鑰並用它直接簽署交易。
安全性:私鑰和主錢包完全隔離(好);但私鑰需要在 Agent 的運行環境裡存在(壞)——如果運行環境被攻擊,私鑰可能洩漏。熱錢包的本質是「私鑰在線可用」,這是其他攻擊的入口。
適用場景:低金額測試和開發環境;Agent 管理的資金規模在可接受損失範圍內(例如 $100-$500)。
方案二:ERC-4337 帳戶抽象錢包(推薦的生產環境方案)
設計:使用 ERC-4337 標準部署一個智能合約錢包,Agent 的操作授權寫在合約邏輯裡——每日最大支出、允許的合約白名單、允許的操作類型等,都是在合約層面強制執行的,不是依賴 Agent 的「自律」。
安全性:安全邊界在鏈上合約裡,比後端程式碼更難被繞過;可以設定多個簽署方(例如需要兩個密鑰都簽署才能超過某個金額);可以通過合約升級來更改授權範圍,不需要轉移資金。
適用場景:生產環境、中等金額($500-$50,000)、需要清晰可驗證的鏈上安全邊界的場景。
方案三:MPC 多方計算錢包(企業級安全)
設計:使用多方計算(MPC)技術把私鑰分片存在多個不同的位置(例如你的服務器、用戶的設備、一個可信第三方)。簽署一筆交易需要多個分片的配合,沒有任何一個位置單獨持有完整的私鑰。
安全性:極高——即使攻擊者入侵了其中一個分片存儲位置,也無法重建完整私鑰。這是目前最接近「私鑰無法被單點洩漏」的方案。Coinbase 的 AgentKit 使用了類似的 MPC 架構。
適用場景:機構級別、管理大額資金($50,000 以上)、對安全性要求最高的場景。實作複雜度高,通常需要使用 Fireblocks、Lit Protocol、或 Privy 等成熟的 MPC 服務商。
方案四:有限 ERC-20 Approve 授權(最輕量,但適用範圍窄)
設計:不給 Agent 私鑰,而是用你的主錢包給一個 Agent 控制的「執行合約」設定有限的 ERC-20 approve 授權。Agent 只能在這個授權範圍內操作,超出授權的操作直接被合約拒絕。
安全性:從設計上最安全——你從來不把私鑰給 Agent,Agent 只有你給的代幣授權,授權到期或被你撤銷後 Agent 完全無法操作。
適用場景:特定代幣的固定策略操作(例如「每週把 USDC 移倉到最高利率協議」);DeFi 協議的有限操作(例如「只允許在 Aave 和 Compound 之間移動 USDC」)。限制:只適合有限的操作類型,無法支持複雜的多代幣策略。
任何 Agent 錢包的設計都面臨「即時可用性 vs 安全性」的根本張力。Agent 需要能在毫秒內自主簽署交易(熱存儲),但熱存儲的私鑰比冷存儲更容易被攻擊。
一個實用的折衷方案:分層存儲。Agent 的操作錢包只存「幾天的運作資金」(保持熱存儲,接受一定的安全風險),大部分資金存在冷存儲錢包或硬體錢包裡(不接入任何 Agent 系統)。定期手動從冷存儲向 Agent 操作錢包補充資金。即使 Agent 操作錢包被全部盜走,損失也有上限。
資金分層比例建議:操作錢包(熱)保留 5-10% 的總策略資金,冷存儲保留 90-95%。你願意在 Agent 操作錢包裡放多少錢,取決於「如果這個錢包被全部盜走,你能接受嗎?」
Agent 操作錢包需要持續補充 Gas 費和 A2A 支付費用。設計補充機制時有幾個注意點:
補充應該由你手動觸發,不應該是 Agent 自動從主錢包提取——自動補充機制讓 Agent 實際上有了觸及你主錢包的能力,打破了錢包隔離的安全邊界。
設置補充觸發通知(當操作錢包餘額低於 $X 時,自動通知你),你手動決定是否補充,不讓系統自動決定。
定期審查操作錢包的費用消耗記錄,確認費用趨勢和策略操作頻率一致(異常的費用消耗可能是 Agent 被攻擊後在執行非預期操作的信號)。
Agent 錢包的設計不是一個純技術問題,它直接決定了「如果一切都出了最壞的情況,你最多損失多少」。選擇 Agent 錢包方案前,先回答一個問題:「如果這個 Agent 錢包的所有資金都被盜走,你的損失範圍是什麼?」如果這個損失範圍超出了你可以接受的範圍,你需要更嚴格的錢包方案(MPC 或 ERC-4337),或者減少在 Agent 錢包裡的資金量,讓最壞情況的損失在可接受範圍內。安全設計的終極目標不是讓 Agent 系統「不可能被攻擊」,而是讓「最壞情況的損失在你可以接受的範圍內」。