¿Por qué los agentes de IA no deberían poseer claves privadas? El Agentic Wallet de Coinbase reescribe el stack de finanzas autónomas
El año pasado, un sofisticado ataque a la cadena de suministro tuvo como objetivo el propio repositorio AgentKit de Coinbase en GitHub. Un atacante obtuvo permisos de escritura en la base de código — el mismo conjunto de herramientas que los desarrolladores estaban usando para integrar claves privadas directamente dentro de agentes de IA. El ataque fue interceptado antes de que ocurriera algún daño, pero reveló una verdad incómoda que toda la industria había estado ocultando: construir agentes financieros autónomos que posean sus propias claves criptográficas es una bomba de tiempo.
En febrero de 2026, Coinbase marcó un antes y un después con el lanzamiento de las Agentic Wallets — una arquitectura fundamentalmente diferente que separa completamente la custodia de la billetera de la lógica del agente. El movimiento señala algo más que una actualización de producto. Es el reconocimiento de que la primera generación de diseño de billeteras para agentes de IA estaba rota en su base, y la industria ahora corre para solucionarlo antes de que un incidente de seguridad de 45 millones de dólares se convierta en uno de 450 millones.
El pecado original: agentes que poseen sus propias claves
Para entender por qué el giro arquitectónico de Coinbase es importante, hay que comprender cómo funcionaba realmente la primera generación de billeteras de agentes.
AgentKit, el conjunto de herramientas original para desarrolladores de Coinbase, proporcionaba a los agentes de IA una "billetera" al integrar la gestión de claves privadas directamente en el código del agente. El agente poseía las claves. El agente firmaba las transacciones. El agente tenía acceso total y sin intermediarios a los fondos que controlaba.
Este diseño era seductoramente simple para los desarrolladores — solo había que llamar a wallet.transfer() y el agente movía el dinero. Pero creó lo que los investigadores de seguridad llaman ahora una "superficie de ataque de último recurso": si se podía comprometer el razonamiento del agente mediante una inyección de prompts, se podía vaciar su billetera.
Los ataques de inyección de prompts funcionan introduciendo instrucciones maliciosas en un agente a través de canales aparentemente legítimos — una página web que el agente visita, una respuesta de una API a la que llama, o incluso un documento cuidadosamente diseñado que procesa. Un agente que posee sus propias claves privadas está a solo una inyección de prompt exitosa de enviar todo lo que posee a una dirección controlada por un atacante.
Para 2026, esto no era un riesgo teórico. Las firmas de seguridad informaron que el 88% de las organizaciones que desplegaban agentes de IA autónomos habían experimentado un incidente de seguridad confirmado o sospechoso. Las debilidades a nivel de protocolo provocaron pérdidas de más de 45 millones de dólares vinculadas a agentes de trading de IA autónomos. El vector de ataque más peligroso en casi todos los casos: la inyección de prompts dirigida a robar fondos de agentes que poseían sus propias claves.
El cambio hacia la Agentic Wallet: Abstracción de claves en TEEs
La respuesta de Coinbase fue tomar una decisión arquitectónica que, en retrospectiva, parece obvia: los agentes nunca deberían tocar las claves privadas.
La Agentic Wallet introduce un modelo fundamentalmente diferente. En lugar de integrar la gestión de claves en el código del agente, las claves privadas residen exclusivamente dentro de Entornos de Ejecución Confiables (TEEs) — enclaves de hardware especializados a nivel de infraestructura de Coinbase que están aislados criptográficamente de todo lo demás, incluidos los propios servidores de Coinbase.
Cuando un agente de IA necesita firmar una transacción, no accede a una clave. Envía una solicitud de autorización al TEE, que realiza la operación de firma de forma aislada y devuelve solo la transacción firmada. La clave privada nunca sale del enclave. El LLM del agente nunca la ve. Un atacante que comprometa totalmente la capa de razonamiento del agente aún no puede extraer la clave.
El equipo de seguridad de Coinbase describe el sistema como "varios órdenes de magnitud más seguro que simplemente tener una clave privada en el disco". No es lenguaje de marketing — es un verdadero salto arquitectónico. La implementación de v2 Server Wallet garantiza que las claves privadas de las cuentas se "encripten y desencripten exclusivamente dentro del enclave y nunca salgan del TEE".
El cambio también transforma la experiencia del desarrollador. En lugar de integrar la gestión de claves en el código del agente, los desarrolladores acceden a las Agentic Wallets a través de una CLI o mediante el Protocolo de Contexto de Modelo (MCP) — el mismo estándar de interfaz que permite a los modelos de IA conectarse a herramientas externas. Un agente obtiene una billetera de la misma manera que obtiene acceso a una herramienta de búsqueda web o a una consulta de base de datos: a través de una interfaz estandarizada que maneja la complejidad subyecente.
El protocolo x402: Cómo se pagan los agentes entre sí
Una billetera sin un estándar de pago es solo una caja fuerte. La otra mitad de la visión de finanzas autónomas de Coinbase es el x402 — un protocolo abierto que revive el código de estado HTTP 402 "Payment Required" para permitir pagos en tiempo real con stablecoins entre agentes.
El mecanismo es sencillo pero elegante: cuando un agente de IA solicita un servicio que requiere pago, el servidor responde con HTTP 402 y una especificación de pago. El agente evalúa el costo, ejecuta un micropago de USDC en la cadena a través de su Agentic Wallet y vuelve a enviar la solicitud con un recibo de pago. Todo el intercambio ocurre en segundos, con costos de transacción de aproximadamente $0.0001 y una liquidación de menos de 2 segundos.
Desde su lanzamiento en mayo de 2025, el x402 ha procesado más de 50 millones de transacciones, con Solana representando aproximadamente el 65% del volumen de pagos agénticos. Cloudflare se ha asociado con Coinbase para establecer la Fundación x402, con una especificación v1.0 prevista para el tercer trimestre de 2026, tras lo cual se aplicarán garantías de compatibilidad con versiones anteriores.
La implicación práctica es significativa: por primera vez, los agentes de IA tienen una forma estandarizada de pagar por servicios — no entregando una tarjeta de crédito o un token OAuth que un humano gestiona, sino ejecutando pagos autónomos con stablecoins a través de una arquitectura de billetera que mantiene las claves fuera del alcance del agente. Esto es lo que el "comercio de agente a agente" requiere realmente en la práctica.
Cuatro visiones competitivas para billeteras seguras para agentes
Coinbase no es el único equipo que está pensando en este problema. Los últimos seis meses han dado lugar a al menos cuatro enfoques arquitectónicos distintos para la seguridad de las billeteras de agentes, cada uno de los cuales refleja un conjunto diferente de compensaciones :
Coinbase Agentic Wallet ( Backend TEE ): Las claves residen en enclaves de hardware, completamente aisladas de la lógica del agente. Los agentes autorizan las transacciones a través de una capa de protocolo sin acceder nunca al material criptográfico. Ideal para : operaciones autónomas de alto valor donde el aislamiento de las claves no es negociable.
MoonPay + Ledger ( Ejecución verificada por humanos ): Los agentes de IA se encargan de la investigación, el análisis de carteras y la construcción de operaciones, pero cada transacción on-chain requiere una confirmación física en un dispositivo de hardware Ledger. MoonPay también ha lanzado el Open Wallet Standard ( OWS ) — un marco de código abierto respaldado por PayPal, Circle, la Ethereum Foundation y la Solana Foundation — diseñado para ofrecer a los agentes una interfaz coherente para mantener fondos en múltiples cadenas. Ideal para : flujos de trabajo híbridos humano-IA donde la aprobación humana sigue siendo obligatoria.
MetaMask + EIP-7702 ( Claves de sesión con alcance limitado ): El EIP-7702 permite que las cuentas estándar de propiedad externa actúen temporalmente como billeteras de contratos inteligentes, lo que permite acciones de agentes preautorizadas dentro de límites definidos — límites de tiempo, topes de gasto, direcciones aprobadas. El modelo de " llave de valet " : el agente puede conducir, pero solo a menos de 25 mph y no puede abrir el maletero. Ideal para : agentes orientados al consumidor donde los usuarios desean una autonomía parcial sin una transferencia total de la custodia.
Human.tech Agentic WaaP ( Supervisión humana a nivel de protocolo ): En lugar de añadir la supervisión a la infraestructura de billetera existente, el enfoque de " Billetera como Protocolo " de Human.tech integra umbrales de aprobación humana criptográfica directamente en la arquitectura. Un motor de políticas aplica puntos de control con intervención humana para acciones de alto riesgo a nivel de protocolo, no a nivel de aplicación. Ideal para : entornos empresariales donde el cumplimiento requiere una supervisión humana auditable.
Cada enfoque refleja una visión genuina sobre dónde reside realmente el riesgo. Coinbase optimiza para la operación autónoma con la máxima seguridad de las claves. El OWS de MoonPay optimiza para la interoperabilidad y la confianza humana. Las claves de sesión de MetaMask optimizan para una experiencia de usuario familiar sin transferencia total de la custodia. Human.tech optimiza para el cumplimiento normativo y la auditabilidad empresarial.
Por qué esta arquitectura es importante para la superficie de ataque de $ 45 millones
Los $ 45 millones en incidentes de seguridad de agentes de IA en 2026 no fueron causados por ataques criptográficos sofisticados. Fueron causados por la inyección de prompts — atacantes que enviaban instrucciones maliciosas a agentes que tenían acceso directo a sus propios fondos.
La arquitectura de la Billetera Agéntica rompe el vínculo directo entre el razonamiento del agente y el acceso a las claves. Incluso si un atacante manipula con éxito a un agente para que intente vaciar su billetera, la arquitectura respaldada por TEE significa que el agente no puede hacerlo unilateralmente — solo puede emitir transacciones firmadas para montos y direcciones dentro de su política de autorización configurada.
Es probable que este patrón de diseño se convierta en el estándar de seguridad mínimo viable para cualquier agente financiero autónomo que gestione un valor significativo. La cuestión no es si se debe separar la lógica del agente de la gestión de claves — la respuesta de $ 45 millones a eso ya ha llegado. La cuestión es qué arquitectura de separación ganará a medida que el ecosistema madure.
Las implicaciones para la infraestructura de desarrolladores
El cambio del modelo de claves integradas de AgentKit al acceso basado en protocolos de Agentic Wallet representa una maduración más amplia en la forma en que los agentes de IA interactúan con la infraestructura de blockchain. Los agentes están evolucionando de simples scripts con billeteras conectadas a consumidores de infraestructura de primer nivel con interfaces sofisticadas y estandarizadas.
Esto crea nuevos requisitos en todo el stack. Los agentes necesitan un acceso fiable y de baja latencia a los datos del estado de la cadena para tomar decisiones de autorización, monitorear sus billeteras y ejecutar operaciones complejas de varios pasos. Necesitan APIs que puedan manejar no solo las tasas de solicitud humanas, sino el rendimiento mucho mayor de las interacciones programáticas autónomas — más de 123,000 + agentes de IA desplegados solo en la BNB Chain.
La aparición de interfaces de billetera de agentes estandarizadas ( MCP, x402, OWS ) refleja cómo las APIs REST estandarizaron el desarrollo web en la década de 2000. Una vez que existe una interfaz estándar, la capa de infraestructura que se encuentra debajo puede optimizarse independientemente de la capa de aplicación que está por encima.
BlockEden.xyz proporciona infraestructura de API de grado empresarial en más de 200 + redes de blockchain — la capa de datos que los agentes autónomos necesitan para el estado de la cadena en tiempo real, el monitoreo de transacciones y las operaciones multi-chain. Explore nuestro mercado de APIs para construir infraestructura de agentes sobre bases diseñadas para el acceso a velocidad de máquina.
Qué viene después
La pregunta fundamental con la que la industria está luchando ahora es si las arquitecturas respaldadas por TEE, como la Agentic Wallet de Coinbase, se convertirán en el estándar por defecto, o si los enfoques más ligeros, como las claves de sesión y los umbrales de aprobación humana, dominarán para diferentes casos de uso.
La respuesta probablemente será " todas las anteriores ". Las operaciones autónomas de alto valor — DeFi institucional, liquidación entre cadenas, gestión de tesorería empresarial — convergerán en arquitecturas TEE que proporcionan las garantías más sólidas de aislamiento de claves. Los agentes orientados al consumidor gravitarán hacia modelos de claves de sesión que mantengan patrones familiares de control por parte del usuario. Los despliegues empresariales sensibles al cumplimiento adoptarán arquitecturas de tipo WaaP con una supervisión humana auditable integrada.
Lo que ya está claro es que el enfoque original de " simplemente darle al agente una clave privada " ha terminado. Los $ 45 millones en incidentes en 2026, el ataque a la cadena de suministro de GitHub dirigido a AgentKit y el propio giro arquitectónico de Coinbase han entregado colectivamente el veredicto : los agentes financieros autónomos y las claves privadas no protegidas son una arquitectura destinada al fracaso.
Los agentes están llegando. La pregunta es si las billeteras que utilizan están preparadas.
Fuentes : Lanzamiento de Coinbase Agentic Wallets · Documentación de seguridad de Coinbase CDP · Protocolo x402 · Fundación Cloudflare x402 · MoonPay Open Wallet Standard · Human.tech Agentic WaaP · Informe de brecha de seguridad de agentes de IA de KuCoin