メインコンテンツまでスキップ

Coinbase Agentic Walletの呼び出し可能サービス・アーキテクチャ:「頭脳」と「鍵」の分離が1,000億ドルのエージェント経済を定義する理由

· 約 16 分
Dora Noda
Dora Noda
Software Engineer

2026年 2月、Coinbase は、AI とクリプト業界全体が 2年間解決したふりをしてきた問いに静かに答えを出しました。それは、「プライベートキーを渡すことなく、自律型エージェントにどのように経済的主体性を与えるか?」という問いです。

その答えは npx awal として登場しました。たった一行のコマンドラインで、Coinbase の Agentic Wallet がインストールされます。これは MPC で保護され、TEE で隔離された、MCP 呼び出し可能なウォレットサービスであり、あらゆる LLM 駆動型エージェントが、シードフレーズや署名キー、あるいは生のトランザクションバイトを一切見ることなく対話できます。一見すると些細な開発ツールに見えますが、実際には、エージェント経済がアナリストたちが現在予測している 1,000億ドルの大台に乗るか、あるいは一連のプロンプトインジェクションによる資金流出で崩壊するかを決定づける、最初の商用グレードのアーキテクチャパターンの実装なのです。

このパターンは、クラウドインフラの世界で「カストディ(保管)からのインテリジェンスの分離」という名前を持っています。2026年、それがついにクリプトの世界に到来しました。

AgentKit から Agentic Wallet へ:誰も気づかなかったアーキテクチャの転換点

2025年に話を戻しましょう。エージェントにウォレットを持たせるための Coinbase の最初の試みは AgentKit でした。これはフレームワークを問わない SDK で、開発者がエージェントのコード内にウォレット機能を直接組み込むことができるものでした。これは機能しました。ハッカソンのチームは週末だけで自律型トレーディングボットをリリースしました。しかし、そこには密かな、そして懸念すべき特性がありました。それは、エージェントとウォレットが同じプロセス内に同居していたことです。何をするかを決定する LLM が、それを実行するための認証情報を保持(あるいは要求)していたのです。

その構成は、50 ドルのテストネットボットであれば許容できるでしょう。しかし、5万 ドルの利回り管理エージェントにとっては受け入れがたく、500万 ドルの財務自動化ボットにとっては致命的です。プロンプトインジェクションは仮説上の話ではありません。LLM のコンテキストウィンドウに署名権限と攻撃者が制御するウェブページの両方が含まれた瞬間、そのウォレット内のすべての資金は自然言語を通じて奪取可能になります。

2026年 2月 11日にリリースされた Agentic Wallet は、このアーキテクチャを反転させました。ウォレットはもはやエージェント内部のライブラリではありません。エージェントが MCP、CLI、あるいは HTTP スタイルの支払いプロトコルを介して呼び出す独立したサービスです。プライベートキーは Trusted Execution Environment(TEE)から離れることはなく、エージェントプロセスがそれを検査、デバッグ、あるいはそこへ侵入することはできません。

この変化は、クラウドがモノリシックなアプリケーションサーバーから、明示的な信頼境界を持つマイクロサービスへと進化したことを反映しています。2026年、ウォレットはマイクロサービスになりました。そして、これまでのあらゆるマイクロサービスへの移行と同様に、その境界を所有するプラットフォームが、静かではあるものの巨大な料金所を所有することになります。

「Callable Service(呼び出し可能サービス)」が実際に意味するもの

この新しいアーキテクチャを定義するのは、3つ の具体的な特性です。

1. エージェントは決して鍵を保持しない。 Coinbase Agentic Wallet は、Intel TDX クラスのハードウェアエンクレーブである Trusted Execution Environment 内で実行されます。そこでプライベートキーが生成・保存され、トランザクションの署名に使用されます。エージェントの LLM コンテキストには、ウォレットのハンドル、残高、および許可された操作のリストが含まれます。署名用の素材は含まれず、抽出も不可能です。展開後は Coinbase の開発者でさえアクセスできなくなります。これは Flashbots や Nous Research による初期の TEE ベースのエージェント研究から着想を得たアーキテクチャの選択です。

2. ポリシーは LLM に相談する前に適用される。 プログラム可能な支出制限、セッション上限、トランザクションごとの最大額、およびアドレスのホワイトリストは、エージェントではなくウォレットサービスによって評価されます。プロンプトインジェクションによる指示がエージェントに財務資金を攻撃者のアドレスに送るよう命じたとしても、エージェントは従順に呼び出しを実行しますが、ウォレットが TEE の境界でそれを拒否します。財務アクションを確定する「プレーンなソフトウェアモジュール」は、プロンプトが届かない LLM コンテキストの外側に配置されています。

3. エージェントは標準プロトコルを介してウォレットを呼び出す。 これは、ほとんどの開発者がまだ過小評価している部分です。Agentic Wallet は、Claude、Codex、Gemini と互換性のある MCP サーバー、および x402 へのネイティブバインディングを備えて出荷されています。x402 は Coinbase と Cloudflare による HTTP 402 ベースの支払いプロトコルで、2026年 4月時点で 1億 6,500万件以上のトランザクションを処理し、6万 9,000体のアクティブなエージェントをサポートし、年間換算で 6億 ドルのボリュームに近づいています。エージェントは Coinbase SDK を必要としません。MCP エンドポイントに対して JSON-RPC で話し、ウォレットが応答します。資金が移動します。鍵がその場に介在することはありません。

この 3つ目 の特性こそが、静かにすべてを変えるものです。ウォレットを MCP 呼び出し可能なサービスにすることで、Coinbase はウォレットインフラをエージェントのランタイムから切り離しました。これは、20年前に AWS がコンピューティングとストレージの間で実現した切り離しと同じです。

1,000億ドルの問い:なぜこのアーキテクチャが不可欠なのか

業界のアナリストは現在、自律型エージェント経済が 2030年までに 30兆 ドルに成長し、短期的には 2026年までに 600億 ドルの AI トークン経済、ステーブルコインの供給量は 4,200億 ドルに達すると予測しています。この成長の多くはマシン・ツー・マシンの決済によって牽引されます。CoinGecko はすでに、合計時価総額 40億 ドルを超える 550 以上の AI エージェント・クリプトプロジェクトを掲載しています。

これらの数字はある一つのことを前提としています。それは、エージェントが本物のお金を管理する上で信頼できるということです。今日、エージェントが自ら鍵を保持している限り、それは不可能です。エージェント経済に関する主要な予測はすべて、セキュリティアーキテクチャが解決されるという仮定に基づいています。Coinbase の賭けは、スケール可能な唯一のアーキテクチャは、推論エージェントとウォレットエージェントが別の存在である構成である、という点にあります。

これは単なるマーケティング上の区別ではありません。クラウドセキュリティがいかに進化したかに直接対応しています。

時代アーキテクチャ失敗モード
モノリシックなサーバーアプリケーション + DB + 秘密情報を一つのプロセスに集約一箇所の侵害 = 全面的な流出
マイクロサービス各サービスを隔離、境界で IAM を適用被害範囲(ブラスト半径)の限定
ゼロトラスト内部であってもすべての呼び出しを認証横方向の移動(ラテラルムーブメント)の無効化

エージェント業界はこの歴史を繰り返しています。AgentKit スタイルの組み込みウォレットはモノリシックな時代です。Agentic Wallet はマイクロサービスの時代です。次に来るもの、すなわち推論エージェントが呼び出しのたびにウォレットエージェントに対して自身のアイデンティティとポリシー遵守を証明する「エージェント間認証(agent-to-agent attestation)」は、すでにプロトタイプが作られています。

ウォレットがマイクロサービス化すると誰が勝つのか

ウォレット・アズ・ア・コーラブル・サービス(呼び出し可能なサービスとしてのウォレット)が標準的なアーキテクチャになれば、競争図は劇的に変化します。2026 年のエージェント・ウォレット市場には 6 つの有力なプレーヤーが存在しますが、それらはアーキテクチャ的に異なる 2 つの陣営に分かれます。

スマートコントラクト・ウォレット製品 — エージェント専用に構築:

  • Coinbase Agentic Wallets: TEE(信頼実行環境)で保護、MCP ネイティブ、x402 バンドル済み。Base、Polygon、Arbitrum、World、Solana において、月間 1,000 トランザクションまでの無料枠を提供。
  • Crossmint: ステーブルコインの決済レール、カードネットワーク、MiCA ライセンスを取得したオンランプ/オフランプを統合した唯一のプラットフォーム。エージェントが非仮想通貨加盟店と取引する場合や、EU のコンプライアンス下で運用される場合に強みを発揮。
  • thirdweb: 幅広いチェーンをカバーするオープンソースのエージェント・ウォレット・プリミティブ。

署名インフラストラクチャ製品 — 自身で構成する鍵管理:

  • Turnkey: EVM、Solana、Bitcoin、TRON に対応する非カストディアルなエンクレーブ・ベースの署名 API。制限やホワイトリスト用のポリシーエンジンを搭載。
  • Privy: オフチェーン・ポリシー適用機能を備えた組み込みウォレットおよびサーバー・ウォレット。2025 年 6 月に Stripe が買収し、現在は Stripe のステーブルコイン推進の中核。
  • Alchemy: アカウント抽象化(Account Abstraction)ファーストの署名機能と高度な EVM ツールを提供。

アーキテクチャ的な洞察は、これら 6 つすべてが同じ分離の原則に収束しつつあるということです。開発者管理の署名ライブラリとして始まった Privy や Turnkey でさえ、現在はエージェントの推論コンテキストの外で実行されるポリシーエンジンを提供しています。マルチシグのベテランである Safe は、これらのいずれとも接続可能なモジュール式の決済レイヤーとして自らを位置づけています。

「料金所(Toll booth)」仮説がそのまま当てはまります。ウォレットがマイクロサービスである世界では、どのモデル(Claude、GPT、Gemini)が決定を下したか、あるいはどのチェーンで実行されたかにかかわらず、ウォレットプロバイダーはエージェントのあらゆる経済活動に課税します。これは、LLM、フレームワーク、さらにはチェーンであることよりも、構造的に優れたビジネスモデルです。

これが Web3 インフラストラクチャにとって何を意味するのか

エージェント経済を構築しているほとんどの開発者がまだ十分に認識していない点は、呼び出し可能なサービスというアーキテクチャが、エージェントのインフラ消費を 2 つの全く異なるアクセスパターンに分割するということです。

推論レイヤーのインフラストラクチャは、リード(読み取り)ヘビーです。エージェントは、最新のチェーンの状態、メンプールのデータ、トークン価格、コントラクトのシミュレーション結果、過去の取引履歴などの情報を必要とします。彼らは意思決定のために、多くの小さなクエリを実行します。ここでのコスト要因は、リクエスト量とデータの鮮度です。

ウォレットレイヤーのインフラストラクチャは、ライト(書き込み)ヘビーであり、セキュリティが非常に重要です。ウォレットサービスには、信頼性の高いトランザクションの送信、堅牢なメンプールへのアクセス、MEV を考慮したルーティング、およびファイナリティの監視が必要です。ここでのコスト要因は、アップタイム、書き込みの信頼性、およびノードレベルのセキュリティです。

これらは異なる製品です。それぞれ異なる SLA、スケーリングの特性、および障害モードを持っています。「RPC URL を渡してくれれば、あとは自分で何とかする」という時代は終わりつつあります。エージェント・グレードのインフラストラクチャ・プロバイダーは、これら両方の消費パターンを第一級の製品として提供しなければならず、それを実現するプロバイダーが数年間にわたる追い風を捉えることになるでしょう。

これこそがまさに BlockEden.xyz が想定して構築した分化です。当社の API マーケットプレイス は、Sui、Aptos、Ethereum、Solana、およびその他 20 以上のチェーンにおいて、エージェントの推論レイヤーで使用される大量のリードアクセス用と、ウォレットサービスで使用される高信頼性のトランザクション送信用の、個別に最適化されたエンドポイントを提供しています。実際のお金を扱うエージェントを設計する場合、ウォレットの RPC への依存はセキュリティ上の境界となります。そのような設計思想に基づいたインフラストラクチャを選択してください。

今後注目すべき点

3 つのシグナルが、コーラブル・サービス・アーキテクチャが勝利したのか、あるいは別の何かがそれに取って代わったのかを教えてくれます。

  1. ウォレット向け MCP サーバーの数。 10,000 を超えるアクティブな公開 MCP サーバーが存在し、2025 年 12 月に Anthropic が MCP を Agentic AI Foundation(Block や OpenAI と共に)に寄贈したことで、このプロトコルは現在、中立なインフラとなっています。今後 2 四半期で Coinbase 以外のプロバイダーからのウォレット MCP サーバーが急増すれば、このパターンは特定のベンダー固有のものではなく、真に標準的なものとなります。

  2. ウォレット・ハンドシェイクにおける TEE アテステーション(証明)。 現在、ほとんどのエージェント・ウォレットは、リクエストを行うエージェントがトークンを持っているという理由だけで、その権限を信頼しています。将来的には、エージェントが承認された環境で承認されたコードを実行しているというリモート・アテステーションが必要になるでしょう。2026 年後半に具体化する「Know Your Agent(KYA)」標準に注目してください。

  3. 保険の価格設定。 DeFi 保険のアンダーライターがエージェント財務ポリシーの提供を開始し、組み込みウォレット型とコーラブル・サービス型で異なる価格設定を行うようになったとき、市場がどちらのモデルが実際に安全であると判断したかが明確になります。組み込みウォレットは、大規模な保険の対象にはならないでしょう。

2026 年 2 月 11 日に Coinbase が行った賭けは、AI エージェントが仮想通貨を管理するという点ではありませんでした。それはすでに明白なことでした。その賭けは、頭脳(AI)と鍵(ウォレット)をアーキテクチャ的に分離することが唯一の許容可能な本番運用パターンとなり、ウォレットの境界を所有する者がエージェント経済全体の経済権益を静かに手に入れることになる、というものでした。3 か月後、x402 のトランザクション量が四半期ごとに 3 倍になり、MCP 呼び出し可能なウォレットサーバーがエコシステム全体に普及した今、その賭けは時期尚早であったかもしれませんが、もはや突飛なものではなくなりました。

2026 年にエージェントを構築するすべてのチームにとって、もはや問いは「エージェント・ウォレットを使うべきか?」ではありません。それは、「ウォレットになりたいか、それともウォレットに料金を支払いたいか?」という問いです。

参考資料

Share on Twitter