Saltar para o conteúdo principal

ERC-8220 e o Selo Imutável: A Camada que Faltava na Ethereum para Governança de IA On-Chain

· 13 min de leitura
Dora Noda
Dora Noda
Software Engineer

Noventa e dois por cento dos profissionais de segurança estão preocupados com os agentes de IA dentro de suas organizações . Trinta e sete por cento dessas mesmas organizações possuem uma política formal de IA . Esse intervalo de 55 pontos é a linha de abertura de todas as apresentações de diretoria de 2026 — e é exatamente o problema que o ERC-8220 está tentando resolver on-chain .

Em 7 de abril de 2026 , uma proposta preliminar chegou ao fórum Ethereum Magicians propondo o ERC-8220 : Interface Padrão para Governança de IA On-Chain com Padrão de Selo Imutável . É o quarto tijolo no que um pequeno grupo de desenvolvedores principais começou a chamar de pilha agêntica da Ethereum ( agentic Ethereum stack ) : identidade ( ERC-8004 ) , comércio ( ERC-8183 ) , execução ( ERC-8211 ) e agora governança . Se atingir o status de Final antes do fork Glamsterdam , poderá fazer pelos agentes autônomos o que o ERC-20 fez pelos tokens fungíveis — transformar um espaço de design bagunçado em uma primitiva combinável .

A ideia central da proposta é o " selo imutável " . Tudo o mais no ERC-8220 flui a partir dele . Acerte o selo e os outros três padrões subitamente terão uma base sobre a qual se sustentar . Erre e toda a pilha agêntica herdará um modo de falha silencioso .

Por que " Agentes Trustless " Precisam de uma Camada de Governança

O ERC-8004 entrou em operação na mainnet da Ethereum em 29 de janeiro de 2026 , fornecendo aos agentes de IA registros de identidade , reputação e validação on-chain . O ERC-8183 seguiu com garantia ( escrow ) programável , permitindo que os agentes contratem , trabalhem e sejam pagos por meio de fundos bloqueados em contratos inteligentes liberados após a conclusão . A Biconomy e a Ethereum Foundation anunciaram conjuntamente o ERC-8211 logo depois — um padrão de execução que permite aos agentes realizar estratégias DeFi de várias etapas ( " smart batching " ) sem codificar previamente cada parâmetro no momento da assinatura .

Juntos , esses três padrões resolvem três problemas concretos : quem é este agente ? , como ele é pago ? e como ele transaciona ? Mas eles deixam uma quarta pergunta estruturalmente sem resposta : o que exatamente o agente tem permissão para fazer , e como eu sei que o agente que está operando hoje é o mesmo que eu auditei ontem ?

Um artigo de 2025 sobre agentes descentralizados soberanos chama isso de paradoxo trustless versus confiável . Uma vez que um agente autônomo é selado em um substrato imutável — suas chaves não extraíveis , sua identidade on-chain persistente — os implantadores humanos ganham resistência a adulterações , mas perdem os controles fáceis para supervisão , responsabilidade e reparação . O ERC-8004 fornece uma entrada no registro . Ele não informa se os pesos e as políticas por trás dessa entrada mudaram às 3 da manhã na última terça-feira .

Esta não é uma lacuna teórica . O estudo de abril de 2026 da Cloud Security Alliance descobriu que mais da metade das organizações que utilizam agentes já experimentaram " violações de escopo " — agentes realizando ações fora de seu limite de autorização pretendido . Um agente comprometido com uma identidade ERC-8004 válida e um escrow ERC-8183 financiado é indistinguível on-chain de seu gêmeo honesto . Até que você leia seus resultados . A essa altura , o escrow já foi liberado .

O Selo Imutável , Explicado

O ERC-8220 propõe uma única estrutura de compromisso on-chain — o selo — que vincula a identidade registrada de um agente a três reivindicações imutáveis :

1 . Hash dos pesos do modelo . Um compromisso criptográfico com o conjunto exato de parâmetros que produz as inferências do agente . 2 . Impressão digital dos dados de treinamento . Um hash sobre o manifesto do conjunto de dados ( não os dados em si ) , opcionalmente Merkle-izado para que a divulgação parcial seja possível para reguladores . 3 . Restrições de inferência . Um documento de política legível por máquina — listas de permissões de chamadas de ferramentas ( tool-call allowlists ) , tetos de gastos , exclusões jurisdicionais — com hash e compromisso junto aos pesos .

Crucialmente , o selo é irrevogável . Uma vez que um agente registra seu selo e começa a operar , esses três hashes não podem ser alterados sem a criação de uma nova identidade de agente . A reputação da identidade antiga , o histórico de escrow e as permissões de execução não são transferidos . Do ponto de vista da rede , a versão 2 é uma estranha .

Isso soa pedante até que você contraste com o funcionamento das plataformas de agentes hoje . A maioria dos frameworks de agentes hospedados permite que os operadores troquem um modelo a quente ( hot-swap ) , ampliem silenciosamente uma lista de permissões de ferramentas ou apliquem um patch de modelo de prompt — tudo sem quebrar a identidade na qual a contraparte depende . Um selo quebra esse padrão por design . Um agente que deseja mudar é livre para fazê-lo ; ele apenas não pode fingir ser o agente em quem você anteriormente confiou .

Três Primitivas Concorrentes Para " Provar que o Agente é o que Afirma Ser "

O selo é uma estrutura de compromisso . Não é , por si só , uma prova . Você ainda precisa de um mecanismo para mostrar que o agente realmente executa o modelo selado sob as restrições seladas no momento da inferência . É aqui que o ERC-8220 atinge a fronteira de três primitivas de atestação concorrentes , cada uma com compromissos ( tradeoffs ) muito diferentes :

1 . Atestação Baseada em TEE ( AWS Nitro , Intel TDX , AMD SEV-SNP )

Os ambientes de execução confiável ( TEEs ) de segunda geração suportam VMs completas com margem de memória suficiente para hospedar cargas de trabalho reais de aprendizado de máquina ( ML ) . Na inicialização , o enclave produz uma atestação assinada — uma cadeia de medições sobre o firmware e a imagem carregada , assinada por uma chave de hardware não extraível . Um verificador compara a medição com o compromisso selado . Se coincidirem , o modelo que o enclave está executando é o modelo que o selo reivindicou .

Um padrão de produção comum combina a atestação com um Serviço de Corretagem de Chaves ( Key Broker Service ) : o enclave apresenta sua atestação a um KMS , que libera a chave de descriptografia para os pesos selados apenas se a medição corresponder à política . Isso oferece garantias fortes na velocidade do hardware — a inferência é executada com desempenho nativo . A desvantagem é que você está confiando nas chaves mestras ( root keys ) e no microcódigo da Amazon , Intel ou AMD . O histórico de canais laterais ( side-channel ) não é encorajador .

2. ZKML (Zero-Knowledge Machine Learning)

Sistemas ZKML como o DeepProve da Lagrange geram SNARKs para inferência, produzindo uma prova sucinta de que a saída Y veio da entrada X sob o modelo comprometido. A verificação é barata e com confiança minimizada: nenhum fornecedor de hardware está no circuito. O custo está no lado do provador (prover), onde o ZKML permanece ordens de magnitude mais lento do que a inferência nativa. Para um modelo de 72 bilhões de parâmetros servindo consultas de agentes em tempo real, o ZKML em 2026 é aspiracional.

3. Compromissos de Hash Criptográfico (O Sistema de Honra com Slashing)

A opção mais leve: comprometer o hash dos pesos on-chain, publicar os pesos off-chain (IPFS, Arweave, S3) e permitir que qualquer pessoa faça uma verificação pontual por meio de re-hashing. Combine isso com uma camada de segurança econômica — validadores com stake que podem sofrer slashing por assinar atestações para um arquivo de pesos que não coincide. Barato, rápido, auditável após o fato. Vulnerável à substituição no momento da inferência que ninguém percebe dentro da janela de desafio.

A jogada mais inteligente do ERC-8220 é que ele não escolhe. O selo é agnóstico ao método de atestação — ele se compromete com o que o agente é, enquanto permite que o como verificamos seja declarado como um campo no próprio selo. Um agente pode selar sob atestação TEE hoje e migrar para ZKML quando o desempenho permitir, sem cunhar uma nova identidade, desde que o hash dos pesos subjacentes permaneça inalterado.

Compondo com o Restante da Stack

A stack agêntica de quatro camadas só funciona porque cada padrão assume que os outros existem. O ERC-8220 é o que permite que os outros três sejam usados com segurança:

  • Identidade ERC-8004 torna-se significativa apenas quando vinculada a um selo. Sem ele, "agente 0x742…" é um nome sem referente. Com o selo, o nome referencia um artefato específico e auditável.
  • Escrow ERC-8183 libera fundos com base em um "assessor neutro" confirmando a conclusão. Um agente selado dá ao assessor algo concreto para avaliar — a saída estava em conformidade com o documento de política transformado em hash no selo?
  • Smart batching ERC-8211 permite que agentes executem estratégias DeFi de várias etapas. As restrições de inferência do selo definem o limite externo: este agente pode processar em lote até N operações nas chains A, B, C, com tetos de gas X, Y, Z.

Este é também o argumento de por que a governança chegou por último e não primeiro. Você não pode governar significativamente um agente que não tem identidade, não tem participações econômicas e não tem envelope de execução. Os três primeiros padrões criaram a área de superfície que o ERC-8220 agora se propõe a regular.

O Vento Regulatório a Favor

O IMDA de Cingapura publicou a primeira estrutura de governança governamental do mundo especificamente para agentes de IA autônomos em janeiro de 2026, estruturada em torno de quatro dimensões: delimitação de riscos, responsabilidade humana, controles técnicos e responsabilidade do usuário final. O adendo agêntico da Lei de IA da UE (EU AI Act), amplamente esperado antes do final do ano, parece seguir a mesma forma. Ambas as estruturas pedem aos implantadores que demonstrem — a um regulador, a uma contraparte, a um tribunal — exatamente o que um agente tinha permissão para fazer e o que ele realmente fez.

O selo é construído sob medida para essa solicitação. O documento de política comprometido é o artefato de "riscos delimitados". A vinculação imutável entre identidade e pesos é o artefato de "responsabilidade humana". O método de atestação é o artefato de "controles técnicos". Um implantador que detém um agente selado possui uma narrativa de defesa que não requer uma investigação forense dos logs do host do modelo.

Esta é a verdadeira razão pela qual o ERC-8220 importa além do mundo cripto-nativo. Se for lançado, ele dará a qualquer implantador de IA — não apenas aos da Web3 — uma maneira de publicar evidências criptográficas do que seu agente é e do que não é. Isso é uma primitiva regulatória, não apenas uma primitiva de blockchain.

Ele Será Lançado Antes do Glamsterdam?

A resposta honesta: provavelmente não na forma Final, mas provavelmente em uma forma de rascunho avançado que as equipes de clientes podem começar a implementar. O processo de padrões da Ethereum é notoriamente multi-cliente — o mesmo problema de coordenação que atrasou o ePBS se aplica aqui. O ERC-8220 não requer um hard fork (é uma interface de nível de contrato, não uma mudança de protocolo), portanto, não compete por espaço de slot no próprio Glamsterdam. O que ele compete é pela atenção dos desenvolvedores, e a infraestrutura de agentes é a narrativa individual mais barulhenta de 2026.

Os grupos que pressionam pela ratificação rápida são parceiros incomuns: provedores de modelos (que desejam uma forma padronizada de anunciar o que estão entregando), implantadores corporativos (que desejam uma história de defesa em profundidade para conselhos e reguladores) e protocolos DeFi (que enfrentam cada vez mais o tráfego impulsionado por agentes e desejam precificar o risco por selo em vez de por heurística).

Os grupos que se opõem são menores, mas substantivos: equipes cujo modelo de negócio depende da capacidade de atualizar modelos silenciosamente durante o percurso, e fornecedores de TEE que prefeririam que sua atestação fosse o único caminho para um selo válido.

O que Observar Entre Agora e o Glamsterdam

  • Implementações de referência. A primeira implementação séria do ERC-8220 nos dirá qual primitiva de atestação o mercado trata como padrão. Minha aposta é baseada em TEE inicialmente, com ZKML opcional até 2027.
  • Semântica de revogação de selo. O rascunho atual é omisso sobre o que acontece quando um selo é invalidado voluntariamente pelo operador (recall do modelo, bug descoberto). O caminho de revogação é a parte mais difícil do padrão e é onde ele ainda pode se fragmentar.
  • Interoperabilidade com a reputação do ERC-8004. Se a reputação de um agente selado for transferida de forma limpa para um novo selo em uma atualização menor de política, a propriedade de mudança de identidade na mutação enfraquece. Se não for transferida de todo, os operadores resistirão ao selamento.
  • Ecossistemas de auditores off-chain. O selo é tão útil quanto os auditores neutros que atestam contra ele. Espere uma disputa marcante em 2026 que esclareça a responsabilidade do auditor.

O padrão a ser observado, em última análise, é se a governança se torna um produto em vez de um custo de conformidade. O ERC-20 fez isso para tokens: os emissores pararam de discutir sobre primitivas de fungibilidade e começaram a competir nas coisas construídas sobre o padrão. Se o ERC-8220 for bem-sucedido, "nosso agente é selado sob a política X, atestado via método Y, auditável por qualquer detentor do selo" torna-se um marketing essencial até 2027 — e a competição interessante muda para cima na stack, para o design de políticas, seleção de auditores e padrões de composição de selos.

Esse seria o resultado mais limpo possível: um padrão técnico tão tedioso que ninguém fala sobre ele, e um ecossistema de agentes substancialmente mais responsável porque ele simplesmente existe silenciosamente.

BlockEden.xyz fornece infraestrutura de RPC e indexação de nível empresarial nas chains onde aplicações agênticas estão sendo construídas — Ethereum, Sui, Aptos e outras. À medida que o volume de consultas de agentes cresce 10 vezes mais rápido que o volume de consultas humanas, a infraestrutura subjacente precisa escalar sem sofrer alterações silenciosas. Explore nossos serviços para construir em bases projetadas para durar.

Fontes

Share on Twitter