メインコンテンツまでスキップ

ERC-8220 とイミュータブルシール:オンチェーン AI ガバナンスのためのイーサリアムに欠けていたレイヤー

· 約 18 分
Dora Noda
Dora Noda
Software Engineer

セキュリティ プロフェッショナルの 92 % が、組織内の AI エージェントについて懸念を抱いています。一方、それらの組織のうち、正式な AI ポリシーを策定しているのはわずか 37 % です。この 55 ポイントのギャップは、2026 年のあらゆる取締役会資料の冒頭を飾る一文となるでしょう。そして、これこそが ERC-8220 がオンチェーンで解決しようとしている問題そのものです。

2026 年 4 月 7 日、Ethereum Magicians フォーラムに、ERC-8220:イミュータブル シール パターンを用いたオンチェーン AI ガバナンスの標準インターフェース を提案するドラフト申請書が提出されました。これは、コア デベロッパーの少人数グループが「エージェンティック イーサリアム スタック(agentic Ethereum stack)」と呼び始めた、アイデンティティ(ERC-8004)、コマース(ERC-8183)、実行(ERC-8211)、そして今回のガバナンスという 4 つの構成要素の最後の 1 つです。もし Glamsterdam フォークまでに Final(最終確定)に達すれば、ERC-20 がファンジブル トークンに対して行ったように、自律型エージェントの混沌とした設計空間をコンポーザブル(構成可能)なプリミティブへと変貌させる可能性があります。

この提案の核心となるアイデアは「イミュータブル シール(不変の封印)」です。ERC-8220 の他のすべての要素はここから派生しています。シールが正しく機能すれば、他の 3 つの標準は強固な土台を得ることになります。逆に失敗すれば、エージェンティック スタック全体がサイレント 失敗 モードを継承することになります。

なぜ「トラストレス エージェント」にガバナンス レイヤーが必要なのか

ERC-8004 は 2026 年 1 月 29 日にイーサリアム メインネットで稼働を開始し、AI エージェントにオンチェーン アイデンティティ、レピュテーション、バリデーション レジストリを提供しました。続いて ERC-8183 がプログラマブル エスクローを導入し、エージェントがスマート コントラクトにロックされた資金を通じて、タスク完了時に報酬を受け取る形で雇用・労働・支払いを行えるようにしました。その後すぐに、Biconomy とイーサリアム財団が ERC-8211 を共同発表しました。これは、署名時にすべてのパラメータを事前エンコードすることなく、エージェントがマルチステップの DeFi 戦略(「スマート バッチング」)を実行できるようにする実行標準です。

これら 3 つの標準を合わせることで、「このエージェントは誰か?」「どのように報酬を支払うか?」「どのように取引するか?」という 3 つの具体的な問題が解決されます。しかし、4 つ目の問いが構造的に未回答のまま残されています。それは、「エージェントは何をすることが許可されているのか、そして今日稼働しているエージェントが昨日監査したものと同じであると、どうすればわかるのか?」という問いです。

自己主権型分散型エージェントに関する 2025 年の論文では、これを トラストレス対トラストワーシーのパラドックス(trustless-versus-trustworthy paradox) と呼んでいます。自律型エージェントがイミュータブルな基盤に封印され、キーが抽出不可能になり、オンチェーン アイデンティティが永続的になると、人間のデプロイヤーは改ざん耐性を得ますが、監視、責任、救済のための容易な制御手段を失います。ERC-8004 はレジストリ エントリを提供しますが、そのエントリの背後にある重み(ウェイト)やポリシーが先週火曜日の午前 3 時に変更されたかどうかは教えてくれません。

これは理論上のギャップではありません。Cloud Security Alliance の 2026 年 4 月の調査によると、エージェントを運用している組織の半数以上が、すでに「スコープ違反(scope violations)」、つまりエージェントが意図された権限の境界を超えた動作をすることを経験しています。有効な ERC-8004 アイデンティティを持ち、ERC-8183 エスクローで資金提供された侵害されたエージェントは、オンチェーン上では正直なエージェントと区別がつきません。その出力(outputs)を確認するまでは。しかし、その時にはすでにエスクローは解除されています。

イミュータブル シールの解説

ERC-8220 は、エージェントの登録済みアイデンティティを以下の 3 つのイミュータブルな主張に結びつける、単一のオンチェーン コミットメント構造(シール)を提案しています。

  1. モデル ウェイトのハッシュ(Model weights hash): エージェントの推論を生成する正確なパラメータ セットに対する暗号化されたコミットメント。
  2. トレーニング データのフィンガープリント(Training data fingerprint): データセット マニフェスト(データそのものではない)のハッシュ。オプションでマークル化(Merkle-ized)され、規制当局への部分的な開示が可能。
  3. 推論の制約(Inference constraints): ツール呼び出しの許可リスト、支出上限、管轄区域の除外など、マシンが読み取り可能なポリシー ドキュメント。これらはウェイトとともにハッシュ化され、コミットされます。

極めて重要なのは、このシールが 取り消し不能(irrevocable) であることです。エージェントがシールを登録して運用を開始すると、新しいエージェント アイデンティティを発行しない限り、これら 3 つのハッシュを変更することはできません。古いアイデンティティのレピュテーション、エスクロー履歴、実行許可は引き継がれません。チェーンの観点からは、バージョン 2 は全くの別物(他人)として扱われます。

これは非常に細かすぎる話に聞こえるかもしれませんが、現在主流のエージェント プラットフォームの仕組みと比較するとその重要性がわかります。ほとんどのホスト型エージェント フレームワークでは、オペレーターがモデルをホットスワップしたり、ツールの許可リストを密かに広げたり、プロンプト テンプレートのパッチを適用したりすることが、取引相手が依存しているアイデンティティを壊すことなく行えてしまいます。シールは設計上、そのパターンを打破します。変更を望むエージェントは自由に変更できますが、以前信頼されていたエージェントの振りをすることはできません。

「エージェントが自称通りのものであることを証明する」ための 3 つの競合するプリミティブ

シールはコミットメント構造です。それ自体が証明(proof)ではありません。推論時に、エージェントが実際に封印された制約の下で、封印されたモデルを「実行している」ことを示すメカニズムが依然として必要です。ここで ERC-8220 は、それぞれ全く異なるトレードオフを持つ 3 つの競合するアテステーション(証明)プリミティブの最前線に直面します。

1. TEE ベースのアテステーション(AWS Nitro、Intel TDX、AMD SEV-SNP)

第 2 世代の信頼された実行環境(TEE: Trusted Execution Environment)は、実際の ML ワークロードをホストするのに十分なメモリ空間を備えたフル VM をサポートしています。起動時、エンクレーブ(隔離領域)は署名付きのアテステーションを生成します。これは、ファームウェアとロードされたイメージに対する一連の測定値であり、抽出不可能なハードウェア キーによって署名されます。検証者はこの測定値を、封印されたコミットメントと比較します。両者が一致すれば、エンクレーブが実行しているモデルは、シールが主張したモデルであるということになります。

一般的な本番環境のパターンでは、アテステーションとキー ブローカー サービス(Key Broker Service)を組み合わせます。エンクレーブは KMS に対してアテステーションを提示し、KMS は測定値がポリシーと一致する場合にのみ、封印されたウェイトの復号キーをリリースします。これにより、ハードウェア速度での強力な保証が得られ、推論はネイティブ パフォーマンスで実行されます。トレードオフは、Amazon、Intel、または AMD のルート キーとそのマイクロコードを信頼していることです。サイドチャネルの歴史は、決して心強いものではありません。

2. ZKML (Zero-Knowledge Machine Learning)

Lagrange の DeepProve のような ZKML システムは、推論のための SNARKs を生成し、出力 Y がコミットされたモデルの下で入力 X から生成されたという簡潔な証明を作成します。検証は低コストで信頼を最小化されており、ハードウェアベンダーを介在させる必要はありません。コストは証明者側にあり、ZKML は依然としてネイティブな推論よりも桁違いに低速です。リアルタイムのエージェント・クエリを処理する 720 億パラメータのモデルにとって、2026 年時点での ZKML はまだ理想的な目標に留まっています。

3. 暗号学的ハッシュ・コミットメント(スラッシングを伴う名誉システム)

最も軽量なオプションです。オンチェーンで重みのハッシュをコミットし、オフチェーン(IPFS、Arweave、S3)で重みを公開し、誰でも再ハッシュによってスポットチェックできるようにします。これに経済的セキュリティ・レイヤー(一致しない重みファイルへのアテステーションに署名した場合にスラッシングされる、ステークされたバリデーター)を組み合わせます。安価で高速、事後の監査も可能です。ただし、チャレンジ期間内に誰も気づかない推論時の置換に対しては脆弱です。

ERC-8220 の最も巧妙な点は、手法を選択しないことです。シール(Seal)はアテステーション手法に依存しません。それはエージェントが 何であるか をコミットし、一方で どのように検証するか をシール自体のフィールドとして宣言できるようにします。エージェントは今日 TEE アテステーションでシールし、パフォーマンスが許せば、基盤となる重みのハッシュが変更されない限り、新しいアイデンティティをミントすることなく ZKML に移行できます。

他のスタックとの構成

4 層のエージェント・スタックは、各標準が他の標準の存在を前提としているからこそ機能します。ERC-8220 は、他の 3 つを安全に使用できるようにするものです:

  • ERC-8004 アイデンティティ は、シールと結びついて初めて意味を持ちます。それがなければ、「エージェント 0x742…」は参照先のない名前に過ぎません。シールがあれば、その名前は具体的で監査可能な成果物を参照することになります。
  • ERC-8183 エスクロー は、「中立的な評価者」が完了を確認した際、資金を解放します。シールされたエージェントは、評価者に対して評価の具体的な基準(出力がシールにハッシュ化されたポリシー・ドキュメントに準拠していたか?)を提供します。
  • ERC-8211 スマート・バッチング により、エージェントは多段階の DeFi 戦略を実行できます。シールの推論制約は外部境界を定義します:このエージェントは、チェーン A、B、C で最大 N 個の操作を、ガス上限 X、Y、Z でバッチ処理できる、といった具合です。

これは、なぜガバナンスが最初ではなく最後に登場したのかという論拠でもあります。アイデンティティも経済的ステークも実行エンベロープ(実行範囲)も持たないエージェントを有意義に統治することはできません。最初の 3 つの標準が、ERC-8220 が現在規制しようとしている「表面積」を作り出したのです。

規制の追い風

シンガポールの IMDA は、2026 年 1 月に自律型 AI エージェントに特化した世界初の政府ガバナンス・フレームワークを発表しました。これは、リスクの境界設定、人間の責任、技術的コントロール、エンドユーザーの責任という 4 つの次元で構成されています。年内に予定されている EU AI 法のエージェント付加条項も、同様の形を踏襲すると広く予想されています。どちらのフレームワークも、デプロイ者に対し、エージェントに何が許可され、実際に何が行われたのかを、規制当局、取引相手、または裁判所に対して正確に実証することを求めています。

シールはこの要求に応えるために特別に設計されています。コミットされたポリシー・ドキュメントは「リスクの境界設定」の成果物です。アイデンティティと重みの間の不変のバインディング(結合)は「人間の責任」の成果物です。アテステーション手法は「技術的コントロール」の成果物です。シールされたエージェントを保持するデプロイ者は、モデル・ホストのログのフォレンジック調査を必要としない防御ストーリーを持つことができます。

これこそが、ERC-8220 がクリプトネイティブの世界を超えて重要である本当の理由です。これが普及すれば、Web3 に限らず あらゆる AI デプロイ者が、自社のエージェントが何であり、何でないかについての暗号学的な証拠を公開する手段を得ることになります。これは単なるブロックチェーンのプリミティブではなく、規制上のプリミティブなのです。

Glamsterdam までにリリースされるか?

正直な答えを言えば、おそらく Final(最終版)の形ではなく、クライアント・チームが実装を開始できるドラフト後半の形でしょう。イーサリアムの標準化プロセスは、マルチ・クライアントであることで知られています。ePBS を遅らせたのと同じ調整問題がここでも当てはまります。ERC-8220 はハードフォークを必要としません(プロトコルの変更ではなく、コントラクト・レベルのインターフェースです)。そのため、Glamsterdam 自体の中でのスロット争いには参加しません。競合しているのは開発者の注目であり、エージェント・インフラは 2026 年で最も声高に語られているナラティブです。

迅速な批准を後押しする勢力は、意外な組み合わせです:モデル・プロバイダー(出荷するものを宣伝するための標準化された方法を求めている)、エンタープライズ・デプロイ者(取締役会や規制当局に対する多層防御のストーリーを求めている)、そして DeFi プロトコル(エージェントによるトラフィックが増加しており、ヒューリスティックではなくシールによってリスク価格を決定したいと考えている)です。

反対する勢力は少数ですが実質的です:モデルを密かに更新できることに依存したビジネスモデルを持つチームや、自社の提供するアテステーションが有効なシールへの唯一のパスであることを好む TEE ベンダーなどです。

Glamsterdam までに注目すべきこと

  • リファレンス実装:ERC-8220 の最初の本格的な実装は、市場がどのアテステーション・プリミティブをデフォルトとして扱うかを教えてくれるでしょう。私の予想では、当初は TEE ベース、2027 年までには ZKML がオプションとして加わるでしょう。
  • シールの失効セマンティクス:現在のドラフトでは、オペレーターによってシールが自発的に無効化された場合(モデルの回収、バグの発見)に何が起こるかについては言及されていません。失効パスは標準の中で最も困難な部分であり、断片化が起こりうる場所です。
  • ERC-8004 レピュテーションとの相互運用性:もしシールされたエージェントのレピュテーションが、マイナーなポリシー・アップデート時に新しいシールにスムーズに移行されるのであれば、「変更に伴うアイデンティティの変化」という特性は弱まります。もし全く移行されないのであれば、オペレーターはシールすることに抵抗するでしょう。
  • オフチェーン監査エコシステム:シールは、それに対して証明を行う中立的な監査人と同じくらいにしか役に立ちません。2026 年には、監査人の責任を明確にする画期的な紛争が発生することを想定しておいてください。

最終的に注目すべきパターンは、ガバナンスがコンプライアンス・コストではなく、一つの「製品」になるかどうかです。ERC-20 はトークンでそれを実現しました:発行者は代替可能性(ファンジビリティ)のプリミティブについての議論をやめ、標準の に構築されたもので競い合うようになりました。もし ERC-8220 が成功すれば、「当社のエージェントはポリシー X の下でシールされ、手法 Y を介して証明されており、シールの保持者なら誰でも監査可能です」という言葉が 2027 年までのマーケティングにおける必須条件(テーブルステークス)になるでしょう。そして、興味深い競争はポリシー設計、監査人の選定、シールの構成パターンといったスタックの上位へと移行します。

それは、考えうる中で最もクリーンな結果となるでしょう。誰一人話題にしないほど退屈な技術標準と、静かに存在することで大幅に説明責任が向上したエージェント・エコシステムです。

BlockEden.xyz は、Ethereum、Sui、Aptos など、エージェント・アプリケーションが構築されているチェーン全体で、エンタープライズ・グレードの RPC およびインデックス・インフラを提供しています。エージェントのクエリボリュームが人間のクエリボリュームよりも 10 倍速く成長する中で、その下のインフラは、密かに変更されることなくスケールする必要があります。当社のサービスを探索して、長く使い続けられるように設計された基盤の上で構築してください。

参照資料

Share on Twitter