為什麼 Agent 需要可驗證身份?匿名操作有什麼安全問題?
在單個 Agent 系統裡(你部署了一個 Agent,它只和你指定的協議互動),Agent Identity 的問題相對簡單——Agent 的身份就是它持有的私鑰對應的錢包地址。但在以下幾個場景裡,Agent 需要更完整的身份機制:
場景一:多 Agent 系統裡的信任問題 在一個 Orchestrator 協調多個 Sub-agent 的系統裡,Orchestrator 向 Sub-agent 發送指令時,Sub-agent 怎麼確認「這個指令確實來自 Orchestrator,而不是一個偽裝的攻擊者」?如果攻擊者可以偽裝成 Orchestrator 向 Sub-agent 發送指令,且 Sub-agent 沒有驗證指令來源的機制,攻擊者就能控制 Sub-agent 執行惡意操作。可驗證身份讓 Sub-agent 能夠驗證「這個指令的來源是我信任的 Orchestrator」(例如通過 Orchestrator 的簽名驗證)。
場景二:跨系統的 Agent 協作 當你的 Agent 需要和其他服務的 Agent 協作(例如 A2A Protocol 場景)時,對方的 Agent 需要知道「你的 Agent 是誰、被授權做什麼」才能決定是否信任這個 Agent 的請求。沒有可驗證身份,跨系統的 Agent 協作要麼依賴 API Key(靜態、難以管理),要麼完全沒有訪問控制(任何人都能偽裝成你的 Agent)。
場景三:責任追溯 當一個 Onchain Agent 系統出現了意外操作,你需要能夠回答「是哪個 Agent 實例執行了這個操作、在誰的授權下」。如果 Agent 沒有可驗證的身份,事後的責任追溯幾乎不可能——你只知道「某個擁有這個錢包的程序執行了操作」,不知道是哪個 Agent 版本、在哪個時間點被授權執行的。
DID 和可驗證憑證(VC)在 Agent 裡具體怎麼使用?
DID(Decentralized Identifier,去中心化識別符)是 W3C 標準定義的一種去中心化身份標識符格式,不依賴任何中心化的身份提供商(不像 OAuth 依賴 Google / Apple)。一個 DID 看起來像:did:ethr:0x1234...(以太坊地址型 DID)或 did:key:z6MkhaXg...(密鑰對型 DID)。
Agent 使用 DID 的場景:
可驗證憑證(VC,Verifiable Credential) 是附加在 DID 上的聲明,由可信的發行者(Issuer)簽署。在 Agent 場景裡,VC 可以用來表達:「這個 Agent(DID = xyz)被其部署者(Issuer = 0xABC...)授權,可以在 Aave 協議上執行不超過 $10,000 的 USDC 存取操作,有效期至 2026-12-31」。
其他 Agent 或協議在接受這個 Agent 的操作請求時,可以驗證:VC 的簽名是否來自可信的 Issuer;VC 裡的授權範圍是否包含當前請求的操作;VC 是否在有效期內。
目前的成熟度:DID 和 VC 在 Onchain Agent 裡的應用仍在早期。實際上很多系統用更簡單的機制(如 EIP-712 結構化簽名)做 Agent 間的身份驗證。DID/VC 更多出現在需要跨組織協作的 Agent 系統(例如企業 AI Agent 之間的互信)裡。
Onchain Agent 的身份和它的錢包地址是同一件事嗎?有什麼情況需要區分?
Onchain Agent 的「鏈上身份」最基本的形式就是它的操作錢包地址——這個地址的私鑰由 Agent 持有,所有鏈上操作都從這個地址發出。但把「Agent 身份 = 錢包地址」等同起來在幾個情況下是不夠的:
需要區分的情況一:多個 Agent 實例共享一個錢包 出於安全設計(例如 ERC-4337 多簽錢包),多個 Agent 實例可能共享同一個操作錢包地址(需要多個 Agent 的多重簽名才能廣播交易)。在這個設計裡,「地址」代表的是整個 Agent 集群的資金帳戶,而不是某個特定 Agent 實例的身份。
需要區分的情況二:Agent 使用 Safe(Gnosis Safe)多簽錢包 Safe 多簽是 Onchain Agent 常用的安全架構——Agent 是 Safe 的一個簽署者(Signer),Safe 地址是「資金持有地址」,Agent 的 EOA 地址是「操作身份」。這裡有兩個地址:Safe 地址(持有資金)和 Agent EOA 地址(Agent 的操作身份),不能混同。
需要區分的情況三:Agent 輪換操作密鑰 出於安全考量(私鑰定期輪換),Agent 的操作地址可能每個月更換。如果「Agent 身份 = 操作地址」,每次地址更換就需要重新建立所有的信任關係(協議白名單、其他 Agent 的信任列表)。更好的設計是把 Agent 的「邏輯身份」(DID 或者一個高層的 Multisig 地址)和「操作地址」分開——操作地址可以輪換,但邏輯身份保持不變,信任關係基於邏輯身份建立,不需要每次操作地址更換都重建。
Agent Identity 的最小可行實作是什麼?不用 DID,有沒有更簡單的方案?
對大多數個人 Onchain Agent 開發者來說,完整的 DID + VC 實作過於複雜,性價比不高。以下是一個「最小可行 Agent Identity」設計,能解決最核心的安全問題(Orchestrator 和 Sub-agent 之間的指令驗證),不需要使用 DID/VC:
最小可行方案:EIP-712 結構化簽名 + 指令 Nonce
Orchestrator 對每條發給 Sub-agent 的指令做 EIP-712 結構化簽名:{instruction_type: 'withdraw', protocol: 'aave', amount: 5000, nonce: 12345, expires_at: 1735689600}。Sub-agent 在執行指令前:驗證簽名確實來自 Orchestrator 的密鑰;驗證 nonce 是否已被使用(防止重放攻擊);驗證 expires_at 是否在當前時間之後(防止過期指令)。
這個方案的效果:即使攻擊者截獲了一條 Orchestrator 發給 Sub-agent 的指令,他無法用同一條指令再次執行(nonce 已使用);他無法偽造新指令(沒有 Orchestrator 的私鑰);他無法使用過期的指令(expires_at 驗證)。
成本:實作這個方案,Python 端只需要 eth_account 庫(Web3.py 的一部分,免費)做簽名和驗證;不需要任何額外的基礎設施。這是個人 Onchain Agent 開發者在不引入 DID 複雜度的情況下,能達到的合理安全水準。
實際架構:一個 DeFi 策略 Agent 系統的身份層設計
一個包含 Orchestrator + 3 個 Sub-agent 的 DeFi 策略系統的最小可行身份設計:
身份層架構:
0xOrch...),持有 Orchestrator 的簽名密鑰。這個地址不持有任何資金,只用來簽署發給 Sub-agent 的指令0xSafe...):持有所有策略資金(USDC)。需要 Orchestrator + 另一個守護者地址共同簽名才能移動資金指令流程(Orchestrator → Sub-agent):
{task: 'query_aave_apy', token: 'USDC', nonce: 001, expires_at: +5min}0xOrch...)對指令做 EIP-712 簽名agent_instruction_log 表這個設計解決的安全問題: 攻擊者無法偽裝成 Orchestrator 向 Sub-agent 發指令(沒有 Orchestrator 私鑰);即使 Sub-agent 被 Prompt Injection 攻擊,它也無法直接訪問 Safe 的資金(Safe 需要 Orchestrator 多簽);每條指令有 nonce 和有效期,防止重放攻擊;完整的指令日誌讓事後審計成為可能。
完整 DID + VC 身份方案 → 支持跨組織的 Agent 協作、授權範圍精細可控、身份和操作地址可分離輪換,但實作複雜(需要 DID Registry、VC 發行/驗證基礎設施),且在個人 Agent 場景裡幾乎沒有可用的標準化生態。EIP-712 簽名 + Nonce 方案 → 實作簡單(只需要 eth_account 庫)、對 Orchestrator-SubAgent 指令驗證已夠用,但不支持跨組織協作、授權描述能力弱。對大多數個人 Onchain Agent:EIP-712 方案夠用,不需要 DID 的複雜度。DID/VC 適合:企業級 Agent 系統、需要與外部 Agent 服務互信的場景。