人有人的用处：Agentic Wallet与钱包的下一个十年

原文标题：《人有人的用处：Agentic Wallet 与钱包的下一个十年》

原文来源：Bitget Wallet

1984 年，苹果（Macintosh）用一个鼠标杀死了命令行。2026 年，Agent 正在杀死鼠标。

这不是比喻。Google、亚马逊、英伟达、Visa、微软、阿里这些花了数十亿美元打磨图形界面的公司，正在主动绕开 GUI，转向 CLI、API 和 Agent 原生接口。逻辑很简单：从 0-1 的增长靠人，但下一个十倍用户群，不再看屏幕。

但所有人都在回避的是：当软件的用户从人变成 Agent，人还需要在场吗？

早在 1950 年，控制论创始人维纳（Norbert Wiener）就给出过警告：一旦人类失去了观测和干预的能力，反馈回路就会断裂，系统就会失控。今天 OpenAI 所强调的「Harness Engineering」，本质上也是这一思想的延续。

七十多年后，Agentic Wallet 面对的是这个问题的加密版本。确认弹窗、签名请求、审批流程、助记词备份、多重验证... 加密钱包花了十年时间搭建的安全机制，都在回答一个问题：「这笔操作，真的是你本人授权吗？」Agent 让这套人类交互机制开始失效：继续要求逐笔人工确认，Agent 无法实现连续、实时、自动化的执行；直接把无边界的私钥控制权交给 Agent，人类会承担不可接受的风险。

答案不在两个极端。完全自主是 Agent 时代最性感的叙事，但维纳的警告依然成立。

我们认为，Agentic Wallet 必须同时服务两类主体：一方面为人类提供规则设定、风险控制与治理干预能力；另一方面为 Agent 提供受约束的执行权限，使其能够在明确边界内自主完成链上操作。换言之，钱包需要从人类使用的资产容器与签名工具，演变成一套让人设定边界、让 Agent 在边界内行动的权限与执行系统。

这套系统应该长什么样？这正是本文要回答的问题。

一、Fat Wallet 之外，另一场钱包战争

Delphi Digital 在 Fat Wallet Thesis 一文中曾提出一个有力的判断：随着协议与应用层日益同质化，价值将沉淀到钱包层，因为钱包最接近用户，掌握着分发渠道与订单流，而用户也会因为熟悉的界面、沉淀的资产和迁移摩擦，长期停留在某个钱包中。

但 Agent 并不遵循同样的逻辑。作为「无情」的机器执行者，Agent 不会像人类一样因为界面熟悉、品牌偏好或使用习惯而停留在某个钱包里，会持续寻找成本最低、延迟最小、执行最稳的基础设施组合。随着 ERC-8004 等标准逐步普及，Agent 的身份与信誉层也有望在不同系统之间迁移，这意味着钱包对 Agent 的锁定效应，天然弱于对人的锁定效应。

不过这并不意味着钱包的价值消失，而是价值沉淀的位置会发生变化。在简单的个人使用场景中，Agent 会削弱钱包原有基于界面、习惯与入口形成的护城河；而在相对复杂的组织化部署场景中，一旦企业围绕整支「Agent 舰队」配置了策略规则、审批流程、风控参数与审计体系，迁移成本就不再来自前端体验，而来自整套权限、治理与运维配置的重建。

因此，Agentic Wallet 回答的是 Fat Wallet 之外的另一个命题：Fat Wallet 争夺的是用户入口，Agentic Wallet 争夺的则是软件开始直接支配资金时的控制权。

如果回顾钱包演进的历程，会发现每一次产品形态变化，本质上都对应着用户信任对象的变化：

· 助记词钱包，要求用户信任自己。

· 智能合约钱包，要求用户信任代码。

· 嵌入式钱包，要求用户信任服务提供方。

而到了 Agentic Wallet，用户需要信任的，是一套由权限、策略与治理机制共同构成的控制系统。

这套系统的目标，并不是让软件接管资金，而是让软件在有限授权下行动，同时让人类始终保留最终控制权。也正因此，Agentic Wallet 的核心不只是「让 Agent 能用钱包」，而是「让 Agent 在可约束、可审计、可干预的条件下管理归属于人类用户的资金」。

二、钱包的边界，Agent 的起点

现有钱包在自己原本被设计的场景里仍然运作良好，但问题在于，越来越多由 Agent 驱动的用例，正在超出现有钱包的设计边界。

场景 1：交易 Agent 需要快速行动，但「有能力执行」不等于「被允许执行」

一个投资组合 Agent 全天候监控跨链流动性。当机会出现时，它需要在秒级以内完成交易。传统钱包的控制逻辑是用户打开应用 - 检查交易 - 点击确认。等这一套流程走完，机会窗口往往已经关闭。

从技术上看，Agent 已经具备调用 swap 函数、生成 calldata、桥接资金的能力，问题在于，能力不等于权限。一个 Agent 能发起交易，并不意味着它就应该被允许自由支配资金。

Agentic Wallet 的作用，正是将两者分开：Agent 可以即时行动，但只能在预设规则内行动，例如仅限已批准资产、受日预算限制、受滑点边界约束，并在市场条件异常时自动暂停。Skill 定义的是 Agent「能做什么」，而钱包负责约束的是 Agent「被允许做什么」。

场景 2：支付 Agent 需要花钱，但不应拥有全部资金控制权

一个支付 Agent 负责自动结算 API 账单、SaaS 订阅费用和供应商付款。在当前钱包体系里，它通常只有两种选择：要么每一笔付款都等待人工审批，要么直接持有一个拥有无限签名权的私钥。前者无法扩展，后者风险过高。

Agentic Wallet 提供的是一种受限授权：它可以只向白名单商户付款，只能使用指定资产，只能在每日预算之内执行支付，并且所有支出都被完整记录。

场景 3：多个 Agent 需要在共享预算下拥有彼此隔离的权限

一个主体可能同时运行多个 Agent：一个负责交易，一个负责支付，一个负责审阅。当前钱包当然可以创建多个子账户，但对这些账户进行统一的权限编排、设置全局预算上限、执行跨 Agent 的策略约束，并形成统一审计链路，并不是现有钱包的原生能力。

而在 Agentic Wallet 模型下，这会被当作优先设计问题来处理：每个 Agent 拥有各自独立、范围明确的权限；与此同时，统一的策略层负责控制总体风险暴露、跨 Agent 的频率限制与共享预算，并生成一致的审计记录。

这些场景指向同一个结论：私钥管理仍然是钱包安全的底座，让 Agent 直接接触私钥，在任何场景下都是不可接受的风险源。但仅仅管好私钥已经不够。

当操作者从人变为 Agent，钱包还必须回答第二个问题：谁被允许在什么条件下、以什么额度、对哪些资产、向哪些对象行动。私钥管理是第一道防线，非人类操作者的权限边界管理，是 Agent 时代新增的第二道防火墙。

三、有界自主：Agentic Wallet 设计哲学

当前行业对 Agentic Wallet 仍处于早期探索阶段，还没有真正成熟的 Agentic Wallet 方案。不过如前言所述，本文认为的 Agentic Wallet 是一套连接人类治理与 Agent 执行的资金控制系统：人类负责设定边界，Agent 负责边界内行动，钱包负责确保这套约束关系始终可执行、可审计、可干预。

同时根据 Agent 获得的授权程度，Agentic Wallet 可能也会分别服务以下 4 种情况：

人类控制型： Agent 提供建议与辅助，每个操作仍需人类确认。改善的是交互效率，资金控制逻辑并未发生变化。

混合型： Agent 处理常规操作，例如检索、报价、提醒或低风险执行；人类介入频率降低，但边界情况仍需由人审批，例如触及资金划转、合约调用或异常分支。

有界自主型： Agent 在明确规则、限额和否决路径内自主行动。人类从逐笔审批者转变为规则制定者。本文所讨论的 Agentic Wallet，主要指向这一类。

完全自主型： Agent 拥有接近完整的经济主权，可以在没有预设边界的情况下独立调度资金并承担结果。这种模式在理论上成立，但在安全、治理、责任归属与合规层面仍远未成熟，目前基本停留在实验阶段。

作为参照，Stripe 在 2025 annual letter 中将 agentic commerce 划分为五个等级：L1 为代填表单（Eliminating web forms），L2 为描述式搜索（Descriptive search），L3 为持续记忆（Persistence），L4 为授权委托（Delegation），L5 为预判式购买（Anticipation）；同时明确判断，当前行业整体仍「徘徊在 L1 与 L2 的边缘」。

从这个角度看，目前最大的市场需求可能来自人类控制型与混合型的场景，而有界自主是当前真正的前沿，也是 Agent 真正开始管理资金的第一个生产级形态。

实现这一构思需要四层架构：

· 账户层：为每个 Agent 建立独立、隔离的经济容器，如通过 EOA、智能合约账户、服务器钱包或 TEE 环境。系统需要对不同 Agent 施加差异化规则。

· 权限层： 定义 Agent 的行为边界，如可支配额度、可操作资产、可交互合约、可执行时间窗、触边后的动作逻辑。这是整个架构的核心层。

· 执行层：面向 Agent 接口而非人类点击。发送、支付、Swap、桥接、再平衡、清算、结算，都需要被抽象为可被程序直接调用的原语。

· 治理层：需提供日志、模拟、审计追踪、告警、暂停开关、人类否决权、恢复机制等等。该层决定 Agentic Wallet 能否真正进入生产环境。

在四层架构之上，还需要四项核心能力支撑系统运转：

Skills：提供标准化的链上操作模块。Agent 可以像调用函数一样完成交易、支付、桥接等动作，而不必自行拼装底层 calldata。Skill 解决的是「能做什么」的能力抽象问题。

Policies + KYA / KYT：Policies 引擎负责对每一次操作进行规则校验，将人类设定的边界转化为机器可执行的约束条件；KYA / KYT 机制则用于识别 Agent 的来源、身份、风险上下文与运行历史。前者约束行为，后者识别操作者，二者共同确保所有资金动作始终处于预设边界之内。

Session Key：提供限时、限额、限范围的安全委托机制。Agent 获得的是临时且有限的授权，而非完整私钥。授权到期自动失效，无需手动撤销，「让 Agent 在不接触完整密钥的前提下获得执行资格」。

审计与通知：提供全程可追溯的操作日志与实时预警系统。每一笔操作可回溯，每一次异常可告警，每一个 Agent 可随时暂停。

当前，我们通常通过指令控制 Agent 的行为逻辑，但任务编排并不等于资金约束。

Agent 仍可能误判、偏离，或遭受攻击与恶意输入污染。钱包层的意义正是在于将「能否动用资金、可动用多少资金、可操作哪些资产、可与哪些对象交互，以及异常情况下如何中止」等涉及资金权限的问题，预先固化为系统规则。即使 Agent 出现偏差，真正能够发生的资金动作仍被限制在预设边界之内。

四、Agentic Wallet 现状：四条路径与四个缺口

围绕现有的 Agentic Wallet 方案，我们关注到 4 个典型案例，基本已经解决了「如何让 Agent 进入资金系统」，但尚未回答「如何让 Agent 在跨链与复杂的现实环境中安全地使用资金」。

Coinbase、Safe、Privy 与 Polygon 已经分别在基础设施、治理、权限和身份层面给出了各自可行的答案，尚未完成的是把这些局部能力进一步整合为一套可以跨链运行、跨环境迁移、在复杂对抗场景下仍然成立的统一控制体系。现阶段 Agentic Wallet 的共性瓶颈，主要集中在以下四个缺口：

第一，身份与信誉尚不可移植。

链上 Agent 身份与信誉系统可以建立，但跨链、跨钱包、跨运行环境通用的信用体系仍然不存在。一个 Agent 在某个生态中积累的历史与信誉，无法自然迁移到另一个生态。

第二，策略层缺少统一标准。

Coinbase 使用 spending limits，Safe 使用链上模块，Privy 使用 policy engine，Polygon 使用 session-scoped wallet。行业已经普遍意识到权限层是核心，但尚未形成可移植、可组合、可跨产品复用的统一策略标准。

第三，对抗性安全仍高度空白。

Prompt 注入、工具投毒、恶意 Skill、被污染的外部输入，这些问题不会被传统合约审计自动解决。Agent 时代真正新增的问题是：当模型的决策过程被恶意输入扭曲时，钱包如何识别、介入并阻断风险。

第四，全链覆盖远未实现。

现有方案大多依附于单一链或有限的多链范围，但 Agent 的经济活动不会长期停留在单一生态内。真正成熟的 Agentic Wallet，必须面对多链、多执行环境以及跨域权限一致性的问题。

五、水面之下：Agentic Wallet 下一个十年

当前，Agentic Wallet 的设计重点是赋能人类对 Agent 施加精细化控制。在大多数实现中，钱包的角色更接近一个被动的签名器：Agent 调用 Skill，Skill 生成交易，钱包在后端完成签名，链上执行随之发生。

但如果 Agent 真正开始管理资金，仅仅在最后一步签名显然不够。更合理的做法是让权限判断发生在执行之前：Agent 调用 Skill 之后，请求先进入钱包内部的 Policy Plane，只有通过策略校验，执行才会被放行。

所谓 Wallet Policy Plane，借用的是系统架构中 Control Plane 与 Data Plane 的思路。它位于 Agent 行为与链上执行之间，把 Policies 引擎、KYT/KYA 校验、Session Key 验证、风险评分和异常处理整合成一个统一的决策面。

这个思路并不陌生，Stripe 的支付架构就是类似的逻辑：开发者调用的是简洁的 API，但在资金真正移动之前，Stripe 已经在后台完成了风险识别、规则检查与合规处理。Agentic Wallet 要做的事情本质相同，上层给开发者一个干净的执行接口，下层用前置策略引擎完成权限裁决。

紧迫性在于，Prompt 注入、工具投毒、恶意 Skill 带来的攻击面正在快速膨胀，而钱包侧的安全基础设施远没有跟上。标准化的 Wallet Policy Plane，在今天还没有成为行业通用的基础原语。

不过，Policy Plane 本身也不会是终态。随着 Agent 身份与信誉体系逐步成熟，授权逻辑会从静态规则驱动转向动态信任驱动。今天靠的是预设边界、额度限制、白名单和人工否决路径；未来，链上交易记录、行为轨迹和跨生态信用数据会逐渐构成可验证的 Agent 信用基础，更多的授权决策将基于身份、历史和实际表现来做出。

当 Agent 与 Agent 之间开始以机器速度进行经济交互时，控制机制就必须从系统建立之初就被内建进去。钱包的角色也会随之改变：在早期，它是守门人，负责阻止越界行为；在成熟阶段，它更接近基础设施，负责让可信主体以更低的摩擦持续连接账户、权限与结算系统。

过去十年，钱包的战场是屏幕上那个入口。下一个十年，战场在用户看不见的那层控制。

本文来自投稿，不代表 BlockBeats 观点。