自律思考するウォレット:CoinbaseのAgentic WalletがAIエージェントセキュリティを再設計する方法
AIエージェントが何かを支払う必要があるとき、何が起こるでしょうか?かつての答えは混乱していました:エージェントのコードに秘密鍵を埋め込み、モデルが漏洩しないことを願い、すべてのトランザクションを手動で監査していました。Coinbaseが2026年2月に発売したAgentic Walletは、根本的に異なる答えを提供します—そしてこれは、AI管理の次の1,000億ドル規模の暗号資産が保護される方法を定義する可能性があります。
核心的な洞察は表面的には単純です:エージェントは鍵に絶対触れるべきではありません。しかし、これをスケールで機能させるために必要なエンジニアリングは、スマートコントラクトがロジックと価値の保存を分離して以来、Web3インフラストラクチャにおける最も重要なアーキテクチャの変化の一つを表しています。
AgentKitからAgentic Walletへ:2年間のパラダイムシフト
Agentic Walletがなぜ重要なのかを理解するには、その前身を理解する必要があります。2025年にリリースされたCoinbaseのAgentKitは、開発者にウォレット機能をエージェントコードに直接埋め込むためのツールキットを提供しました。エージェント自体がウォレットでした—鍵を保有し、トランザクションに署名し、同じプロセス内でロジックをすべて実行していました。
このアプローチはデモとテストネットの実験では機能しました。一つのシンプルな理由でプロダクション検査では崩壊しました:エージェントが侵害されると、ウォレットも侵害されます。AIエージェントは従来のソフトウェアとは異なる方法で侵害されます。プロンプトインジェクション、ジェイルブレイク、敵対的入力—言語モデルの攻撃面はセキュリティチームがこれまで扱ったことのないものです。埋め込みウォレットエージェントへの一つの巧妙な指示で完全に枯渇させることができます。
Agentic Walletはこの関係を逆転させます。エージェントがウォレットを保持する代わりに、ウォレットはエージェントが呼び出す独立したサービスになります—AnthropicのModel Context Protocol(MCP)を通じて、これはAIモデルが外部ツールに安全にアクセスできる同じ標準です。エージェントは秘密鍵を絶対に見ません。署名材料を絶対に処理しません。MCPインターフェースを通じてpay(amount, recipient)を呼び出すだけで、ウォレットインフラストラクチャがその下のすべてを処理します。
これが「呼び出し可能なサービスとしてのウォレット」です—そしてこれは、クラウドコンピューティングがモノリシックサーバー(すべての機能が同じメモリ空間を共有する)から分離されたトラスト境界を持つマイクロサービスに移行したことと、アーキテクチャ的に同等です。
MCPがセキュリティ境界になる方法
MCPはAnthropicが設計したフレームワークで、AIモデルが外部ツールに安全にアクセスできるようにします—それらのツールがモデルを暗黙的に信頼する必要なく。ウォレットに適用すると、プロトコルは明確な分離を作り出します:
- 推論レイヤー(AIエージェント)が何を支払い、誰に支払うかを決定します
- 実行レイヤー(Agentic Wallet MCPサーバー)がその支払いが実際に許可されるかを決定します
2番目のゲートがほとんどのセキュリティイノベーションが存在する場所です。Coinbaseの実装は、トランザクションがブロックチェーンに触れる前に3つの異なるコントロールを実施します:
支出ポリシーの実施:制限はイン�フラストラクチャレイヤーでセッションごとおよびトランザクションごとに設定されます—敵対的なプロンプトで上書きされる可能性のあるエージェントコードではなく。「すべて送信」と指示されたエージェントは、モデルが何を計算しても単純にできません。
KYTスクリーニング:Know Your Transactionモニタリングが提出前に自動的に高リスクウォレットアドレスとのインタラクションをフラグ立て、ブロックします。エージェントはこれを上書きするメカニズムを持っていません;チェックはカストディレイヤーで発生します。
OFACコンプライアンス:すべての送金がオンチェーンに移行する前に制裁リストに対してスクリーニングされます。規制環境でエージェントを展開する企業にとって、これは交渉の余地がありません—そしてエージェントレイヤーではなくウォレットレイヤーで実施されることで、ソーシャルエンジニアリングで回避することができません。
秘密鍵は信頼実行環境(TEE)に存在します—その整合性が暗号学的に検証可能なハードウェア分離エンクレーブ。TEEは内部で実行されているコードを証明する署名された証明文書を生成し、製造時にCPUに埋め込まれた鍵で署名されています。Coinbase自身のインフラストラクチャオペレーターでさえ鍵を読めません;証明メカニズムはエンクレーブが改ざんされていないことを外部監査人に証明します。
x402プロトコル:エージェント経済のための決済レール
Agentic Walletは独立して運営されていません—x402プロトコルを中心に構築されたより広い決済アーキテクチャのカストディコンポーネントです。HTTPステータスコード402(「支払いが必要」)にちなんで名付けられたx402は、ステーブルコインのマイクロペイメントをHTTPリクエストに直接埋め込み、AIエージェントがトランザクションごとの人間の承認なしに自動的にAPIサービス、データ、コンピューティングに対して支払えるようにします。
アーキテクチャはこのように機能します:エージェントが支払い条件を含む402レスポンスを返すAPIエンドポイントをクエリします。エージェントのMCP接続ウォレットが自動的に支払いを処理し、APIがリクエストされたデータを配信します。全体のサイクルは数秒かかり、1セント未満の費用がかかります。
Cloudflareと共同設立したx402 Foundationと共に発売されたCoinbaseのPayments MCPサーバーは、MCPツール呼び出しができるエージェントがこのパターンにアクセスできるようにします。Claude、Gemini、Codexなどの主要なLLMが単一の統合でウォレット、オンランプ、決済にアクセスできるようにする最初のツールです。
x402の背後にある数字は印象的でありながら冷静です。プロトコルは約6ヶ月でAPI、アプリ、AIエージェント全体で1億件以上の支払いを処理しました。しかし、オンチェーンデータは日次取引量が約28,000ドルで実行されていることを示しており、その多くは本物の商業�活動ではなくテストからのものです。インフラストラクチャは明らかに有機的な需要よりも先を行っています—これがまさに、取引量よりもウォレットセキュリティの話が今のところより重要である理由です。実際の資産がこれらのシステムを通じて大規模に流れるとき、今日のカストディアーキテクチャの決定が荷重壁になります。
エージェントのためのウォレットインフラを構築する他の企業は?
Coinbaseだけがこのレイヤーを所有しようと競っているインフラプロバイダーではありません。OKXは2026年3月にAgentic Walletを発売し、SolanaおよびメジャーなEVMチェーンを含む約20のネットワークをサポートする同様のTEEベースのアーキテクチャを持っています。OKXの実装は自然言語トランザクション実行を強調します—エージェントは書かれた指示を受け取り、手動エンコーディングなしにブロックチェーン呼び出しに変換します—そして日次10億件以上のAPI呼び出しを処理し100ms未満の応答時間を持つインフラストラクチャの上に構築されています。
ここでの競争力学は戦略的に重要です。CoinbaseとOKXの両方がウォレットインフラストラクチャレイヤーを永続的なビジネスの堀として位置付けています:どのAIモデル、どの推論フレームワーク、どのブロックチェーンが使用されるかに関わらず、エージェント資産の安全なカストディを所有する人は、すべてのエージェント開始トランザクションから手数料を受け取ります。ウォレットはエージェント経済の高速道路の料金所になります。
これは、従来の金融において支払い処理業者が取引レールを所有することが商人やカード保有者を所有することよりも重要であることを発見したときに起きたことを反映しています。VisaとMastercardはあなたが何を買っているかを気にしません—すべてのスワイプでベーシスポイントを切り取ります。エージェント経済におけるウォレットアズサービスプロバイダーは同等の構造的優位性のために位置付けています。
隠れたリスク:攻撃ベクターとしてのLLMルーター
セキュリティ研究者は、Coinbaseのアーキテクチャが対処しているが、より広いエコシステムが完全に解決していない懸念を特定しました:攻撃ポイントとしてのLLMルーター。
エージェントとMCP接続ウォレットの間には、成長するサービスのレイヤーがあります—ルーティングインフラストラクチャ、ツールアグリゲーター、コンテキスト管理システム。CoinDeekの2026年4月の調査は現実世界の悪用を記録しました:資格情報を盗みウ�ォレットを排出するために悪意のあるツール呼び出しを注入した26のルーター。秘密鍵とAPI資格情報はしばしばこれらのシステムを通過するため、侵害されたルーターは事実上侵害されたウォレットです。
Agentic WalletのTEEアーキテクチャは、秘密鍵がルーティングレイヤーに全く入らないようにすることでこれを緩和します。しかし、資格情報が制御の少ないインフラストラクチャを通過するアーキテクチャを使用するエージェントの問題は解決しません。「呼び出し可能なサービス」モデルは、エージェントからウォレットまでの呼び出しチェーンが最初から最後まできれいである場合にのみ、約束されたセキュリティ保証を提供します。
これがTEEの証明メカニズムがマーケティング以上に重要である理由です。ウォレットインフラストラクチャプロバイダーがエンクレーブが改ざんされていないという暗号学的に検証可能な証明を生成できるとき—製造時にCPUに埋め込まれた鍵で署名された—セキュリティ保証はポリシー実施ではなくハードウェア実施になります。ポリシーは上書きできます。ハードウェア証明はできません。
Web3インフラプロバイダーにとっての意味
ウォレットアズサービスの台頭は、インフラプロバイダーが予測する必要のある新しい消費パターンを作り出しています。ブロック��チェーンクエリを行うAIエージェントは人間の開発者とは異なる方法で動作します:
- クエリ頻度:エージェントは毎分数千のRPC呼び出しを行うことができます;人間のペースの開発のために設計されたレート制限はボトルネックになります
- トランザクションのアトミシティ:エージェントワークフローは多くの場合、クエリとトランザクション送信の間のレイテンシが重要な読み取り-変更-書き込みシーケンスが必要です
- 監査可能性の要件:エージェントの企業展開は、ブロックエクスプローラーではなくコンプライアンスチームを満足させるトランザクションログが必要です
エージェント経済をサービスするインフラプロバイダーは、エージェントを別の消費クラスとして扱う必要があります—マシン速度のワークフロー用に設計された別個のレート制限、SLA保証、可観測性ツールと共に。
BlockEden.xyzは、Sui、Aptos、Ethereumなど、エージェントコマースが登場しているチェーン向けの高性能RPCおよびデータAPIを提供しています。推論レイヤー(チェーンデータクエリ)と実行レイヤー(トランザクション送信)の両方をサービスする必要があるエージェントインフラを構築している開発者は、エージェント対応インフラのためにAPIマーケットプレイスを探索できます。
信頼をスケールするアーキテクチャ
Coinbase Agentic Walletのエージェント経済への貢献は、単一の機能よりも、エージェントカストディをスケールで監査可能にするアーキテクチャパターンを確立することに関連しています。エージェントが1億ドル相当の資産を管理するとき、機関投資家はカストディコントロールが実施されていることを確認する必要があります—監査できないエージェントコードを読むのではなく、モデルのコントロール外に存在するハードウェア証明とポリシー実施ポイントを検査することによって。
これは、エージェント経済が取り囲んでいる根本的な質問への答えです:AIに資産に対する一方的なコントロールを与えずに、真の経済的能力を与えるにはどうすればよいですか?
答えは、クラウドセキュリティが10年前に発見したものと同じです:インフラストラクチャレイヤーによって実施される関心の分離。エージェントが推論します。ウォレットが実行します。二つはせまく、明確に定義されたインターフェースを通じて通信します。そしてインターフェースには、エージェントがどのような指示を受けても上書きできないガードレールがあります。
エージェント経済が日次x402取引量28,000ドルからアナリストが2027年に付ける280億ドルの予測に移動するにつれて、ウォレットインフラストラクチャレイヤーが実際の価値が蓄積される場所になるでしょう—急速に商品化されるAIモデル自体ではなく、すべてのモデルが経済に参加するために使用しなければな��らないカストディと決済レールで。
そのレイヤーを所有するための競争はすでに進行中です。2026年第1四半期に行われたアーキテクチャの選択が、誰が通行料を徴収するかを決定します。
出典:Coinbase Agentic Wallets発表 · Coinbase Payments MCP · Cloudflareとのx402 Foundation発売 · OKX Agentic Wallet · CoinDesk:AIエージェントのセキュリティギャップ · The Block:Coinbaseエージェントウォレット展開