帳戶抽象(Account Abstraction / ERC-4337)對 Agent 錢包有什麼特別的意義?為什麼它比傳統 EOA 錢包更適合 Agent?
傳統的以太坊外部帳戶(EOA,Externally Owned Account)——就是你的 MetaMask 這類錢包——的安全模型很簡單:誰有私鑰,誰就能做任何事。這對個人用戶有一定風險,對 Agent 來說問題更大:一旦 Agent 的私鑰洩露(或被盜),攻擊者可以不受任何限制地操作整個錢包。
帳戶抽象(ERC-4337)改變了這個模型。在 AA 架構下,錢包本身是一個智能合約,它的「授權邏輯」可以自定義。這意味著:你可以在智能合約裡寫入「這個 Agent 每天最多只能動 $100 USDC」「這個 Agent 只能和白名單裡的合約互動」「如果嘗試執行白名單外的操作,自動拒絕並發送通知」。
這些限制不是依賴 Agent 自己的「自律」,而是直接寫進合約邏輯——即使 Agent 的推理被攻擊或被注入惡意指令,它也沒有辦法打破這些合約層面的限制。這就是為什麼 ERC-4337 被視為 Agent 錢包的理想架構:它把安全規則從「靠 Agent 遵守」變成了「靠代碼強制執行」。
Multi-Party Computation(MPC)私鑰分片是什麼?它怎麼讓 Agent 錢包更安全?
MPC(多方計算)私鑰分片的核心思想是:不把完整的私鑰存在任何一個地方,而是把私鑰切分成多個「分片」,分散存在不同的地點(例如用戶的設備、服務商的伺服器、備份節點)。簽署交易時,多個分片合作計算出簽名,但任何一個分片單獨拿到都沒有用——攻擊者需要同時控制足夠數量的分片才能重建私鑰。
對 Agent 錢包的意義:Agent 需要能夠自主簽署交易(不能每次都等你確認),但私鑰又不能存在 Agent 運行的環境裡(因為那裡可能被攻擊)。MPC 提供了一個解法:Agent 的部分私鑰分片存在安全的伺服器環境,另一部分存在用戶控制的地方(或者另一個安全環境)。Agent 需要簽署時,多個分片協作完成簽署,但攻擊者拿到任何單一分片都沒有用。
主要的 MPC 錢包方案(如 Fireblocks、Coinbase Wallet SDK 的 MPC 方案)已經在機構環境廣泛使用。Agent 錢包的 MPC 應用還在早期,但這是目前最主流的企業級 Agent 私鑰管理方向。
如果 Agent 錢包被盜了或者被攻擊了,我能做什麼?能追回資金嗎?
先說殘酷的現實:鏈上交易是不可逆的。如果 Agent 已經把資金轉走,而且沒有智能合約層面的時間鎖或恢復機制,那筆錢大概率追不回來。
這就是為什麼「事後補救」在加密的 Agent 錢包安全裡幾乎沒有意義,所有的重點都應該放在「事前預防」。
但還是有幾個可以採取的行動:第一,如果你發現 Agent 行為異常,立刻撤銷它的授權——透過智能合約控制面板(如果用 ERC-4337)或直接清空 Agent 錢包餘額(如果是 EOA)。越快撤銷,後續損失越少。第二,如果使用的是帶有時間鎖的合約(部分設計允許在交易廣播後有一個短暫的「撤回視窗」),立刻嘗試在視窗期內取消。第三,留存所有的 Agent 操作日誌和 Thought/Action 記錄,這是後續審計和確定責任的依據。第四,如果損失超過一定金額,可以聯繫鏈上安全公司(如 Chainalysis、SlowMist)協助追蹤資金流向,但追回的可能性取決於攻擊者是否已經洗掉資金。
最重要的教訓:Agent 操作錢包裡永遠只放你「輸得起」的資金。這不是悲觀,而是現實的風險管理。
未來的 Agent 錢包會往哪個方向發展?現在還缺少什麼?
目前的 Agent 錢包解決方案還在早期,有幾個明確的方向是業界正在努力的:
第一,更好的意圖層驗證。目前的 Agent 錢包主要靠「金額上限」和「白名單合約」做安全邊界,但這些是硬規則,沒有辦法判斷「這筆操作在邏輯上是否符合用戶的意圖」。未來的方向是加入意圖層驗證——在交易執行前,用另一個 AI 或規則引擎評估「這個 Agent 的請求和它的任務目標是否一致」,不一致就觸發警報。
第二,ZK 意圖隱私。使用零知識證明,讓 Agent 可以向服務商證明「我被授權執行這個操作」,而不洩露完整的授權細節或用戶身份。這對保護交易策略的隱私非常重要(避免策略被競爭者複製)。
第三,跨鏈 Agent 錢包。目前大多數 Agent 錢包是單鏈的,如果 Agent 需要跨鏈操作(在以太坊查數據、在 Solana 執行操作),需要在多條鏈上各有錢包並分別管理,複雜度很高。跨鏈 Agent 帳戶的標準化是下一個重要的基礎設施缺口。
第四,社會恢復機制。類似多重簽名錢包的社會恢復設計,讓用戶在 Agent 錢包私鑰丟失時,可以透過預設的「恢復委員會」恢復控制,而不是永久失去資產。
你可能注意到一個越來越常見的說法:「AI Agent 需要自己的錢包」。這聽起來很科幻——一個 AI 擁有銀行帳戶?——但它背後的邏輯非常務實,而且解決的是一個真實的技術問題。這篇文章解釋 Agent 錢包到底是什麼、為什麼需要它、以及讓它真正安全可用面臨的挑戰。
想像你要建一個 AI Agent,讓它自動幫你管理 DeFi 收益——監控利率、在最佳時機移倉、支付每一次操作所需的 Gas 費。問題來了:Gas 費要誰付?
傳統 Web2 的付款模式是:人類的銀行帳戶→信用卡→付款。但 AI Agent 沒有法人身份,沒有信用評分,更重要的是,它沒有辦法「自主決定」在信用卡上完成一筆付款——信用卡的每次刷卡,在技術上都需要人類的確認(或者你得把你的信用卡資訊直接存進 Agent 的配置,這是一個巨大的安全風險)。
更根本的問題:如果 Agent 需要即時、自主地做微支付(例如為一次 API 調用付 $0.01 美元),傳統的支付系統根本不支援這個粒度——信用卡的最低手續費就可能比這個交易金額更高。
Agent 錢包的概念很直接:給 AI Agent 一個專屬的區塊鏈錢包地址和對應的私鑰(或者更安全的多簽或閾值簽章方案)。這個錢包裡預先存入資金(通常是穩定幣 USDC 或鏈的原生代幣用於支付 Gas),Agent 可以用這個錢包自主完成:支付每次操作的 Gas 費;透過 x402 協議自主付費使用工具和 API;在 DEX 上執行交易;甚至和其他 Agent 的錢包互相支付(A2A 微支付)。
不再需要人類的信用卡或銀行帳戶作為中介。Agent 有了自己的「帳戶」,可以真正自主地作為經濟參與者存在。
「給 Agent 一個錢包」說起來簡單,但真正讓它安全可用,需要認真解決四個問題:
私鑰怎麼管:Agent 需要私鑰才能簽署交易,但私鑰不能直接存在 Agent 的代碼或環境變數裡(這樣如果代碼被竊取,私鑰就洩露了)。目前業界的主流做法包括:使用硬體安全模組(HSM)存儲私鑰;使用多方計算(MPC)將私鑰分片存在多個地方,任何一個地方被攻擊都不足以重建完整私鑰;或使用智能合約帳戶(Account Abstraction,ERC-4337),讓授權邏輯由合約控制,而不是靠單一私鑰。
支出上限怎麼設:Agent 錢包必須有硬性的支出限制。設計良好的 Agent 錢包應該包括:每日最大支出上限(例如 $100 USDC/天);單筆交易最大金額限制;白名單合約(只能和預先批准的智能合約互動,不能把資金轉到任意地址);以及超過閾值的操作必須觸發通知。
Agent 錢包和主要資產錢包的隔離:這是最重要的安全原則之一。Agent 使用的錢包應該是一個專門的「操作錢包」,裡面只保留夠用幾天的資金。你的主要資產絕對不應該在 Agent 有直接控制權的錢包裡。這樣即使 Agent 被攻擊或判斷出錯,損失也有上限。
審計軌跡:Agent 錢包的每一筆交易都應該被記錄在可審計的日誌裡——誰發起的交易、基於什麼推理、在什麼時間、金額是多少。這讓你在 Agent 做出你不預期的操作時,可以追溯原因。
個人錢包(如 MetaMask)的設計哲學是「你完全控制,每次操作你確認」。Agent 錢包的設計哲學完全不同:「Agent 在預設邊界內自主行動,超出邊界才通知你」。
這兩種哲學的結合,就是未來 DeFi 用戶體驗的方向:你的主錢包是你完全控制的資產存放地;Agent 錢包是你預先充值的「操作資金池」,Agent 在裡面自主執行策略,定期向你報告,需要更多資金或遇到特殊情況才通知你確認。
x402 協議(讓 Agent 在 HTTP 層自主完成微支付)加上 Agent 錢包,形成了一個完整的閉環:Agent 發現需要某個付費工具 → 自動從 Agent 錢包支付費用(透過 x402)→ 取得工具存取 → 用工具完成任務 → 把結果回報給你。全程不需要你的介入,也不需要你的個人支付資訊。
這是 ERC-8004(Agent 身份)+ ERC-8257(工具登錄)+ x402(支付)+ Agent 錢包(資金來源)整個「AI Agent 基礎設施協議棧」裡最後的一塊拼圖。
如果你是加密用戶打算使用 Agent 服務,最重要的是記住兩件事:第一,永遠不要給 Agent 直接操作你主要資產錢包的權限,建立一個專門的 Agent 操作錢包並控制充值金額。第二,了解這個 Agent 服務使用的是哪種私鑰管理方案——它有沒有硬性的支出上限、有沒有白名單合約限制、有沒有即時的異常通知機制。這些問題能清楚回答的服務,才值得信任。