Почему ИИ-агенты не должны владеть приватными ключами: Agentic Wallet от Coinbase переписывает стек автономных финансов
В прошлом году изощренная атака на цепочку поставок была направлена на собственный репозиторий AgentKit компании Coinbase на GitHub. Злоумышленник получил права на запись в кодовую базу — тот самый инструментарий, который разработчики использовали для внедрения закрытых ключей непосредственно внутрь ИИ-агентов. Атака была пресечена до того, как был нанесен какой-либо ущерб, но она выявила неприятную правду, которую вся индустрия пыталась замалчивать: создание автономных финансовых агентов, хранящих собственные криптографические ключи, — это бомба замедленного действия.
В феврале 2026 года Coinbase установила четкие границы, запустив Agentic Wallets — принципиально иную архитектуру, которая полностью отделяет хранение кошелька от логики агента. Этот шаг означает нечто большее, чем просто обновление продукта. Это признание того, что первое поколение дизайна кошельков для ИИ-агентов было ошибочным на фундаментальном уровне, и сейчас индустрия спешит исправить это до того, как инцидент безопасности стоимостью 45 миллионов долларов превратится в инцидент стоимостью 450 миллионов.
Первородный грех: Агенты, хранящие собственные ключи
Чтобы понять, почему архитектурный поворот Coinbase имеет значение, нужно разобраться, как на самом деле работало первое поколение агентских кошельков.
AgentKit, оригинальный инструментарий Coinbase для разработчиков, предоставлял ИИ-агентам «кошелек» путем встраивания управления закрытыми ключами непосредственно в код агента. Агент владел ключами. Агент подписывал транзакции. Агент имел полный, неконтролируемый доступ к средствам, которыми он управлял.
Этот дизайн был заманчиво прост для разработчиков — достаточно вызвать wallet.transfer(), и агент переводит деньги. Но это создало то, что исследователи безопасности теперь называют «поверхностью атаки последнего рубежа»: если вы сможете скомпрометировать логику агента с помощью инъекции промпта (prompt injection), вы сможете опустошить его кошелек.
Атаки с инъекцией промптов работают путем внедрения вредоносных инструкций в агента через, казалось бы, легитимные каналы — веб-страницу, которую посещает агент, ответ от API, который он вызывает, или даже тщательно составленный документ, который он обрабатывает. Агент, хранящий собственные закрытые ключи, находится в одном шаге от успешной инъекции промпта до отправки всего своего имущества на адрес, контролируемый злоумышленником.
К 2026 �году это перестало быть теоретическим риском. Фирмы по кибербезопасности сообщили, что 88% организаций, развертывающих автономных ИИ-агентов, столкнулись с подтвержденным или предполагаемым инцидентом безопасности. Слабости на уровне протокола спровоцировали убытки на сумму более 45 миллионов долларов, связанные с автономными торговыми ИИ-агентами. Самый опасный вектор атаки почти в каждом случае: инъекция промпта, направленная на кражу средств у агентов, хранящих собственные ключи.
Переход к Agentic Wallet: Абстрагирование ключей в TEE
Реакция Coinbase заключалась в принятии архитектурного решения, которое в ретроспективе кажется очевидным: агенты вообще не должны касаться закрытых ключей.
Agentic Wallet представляет принципиально иную модель. Вместо встраивания управления ключами в код агента, закрытые ключи живут исключительно внутри доверенных сред исполнения (TEE) — специализированных аппаратных анклавов на уровне инфраструктуры Coinbase, которые криптографически изолированы от всего остального, включая собственные серверы Coinbase.
Когда ИИ-агенту нужно подписать транзакцию, он не обращается к ключу. Он отправляет запрос на авторизацию в TEE, который выполняет операцию подписания в изоляции и возвращает только подписанную транзакцию. Закрытый ключ никогда не покидает анклав. LLM агента никогда его не видит. Злоумышленник, полностью скомпрометировавший уровень логики агента, все равно не сможет извлечь ключ.
Команда безопасности Coinbase описывает систему как «на несколько порядков более безопасную, чем просто наличие закрытого ключа на диске». Это не маркетинговый язык — это подлинный архитектурный скачок. Реализация v2 Server Wallet гарантирует, что закрытые ключи учетных записей «шифруются и дешифруются исключительно внутри анклава и никогда не покидают TEE».
Этот сдвиг также меняет опыт разработчиков. Вместо интеграции управления ключами в код агента, разработчики получают доступ к Agentic Wallets через CLI или посредством протокола контекста модели (MCP) — того самого стандарта интерфейса, который позволяет моделям ИИ подключаться к внешним инструментам. Агент получает кошелек так же, как он получает доступ к инструменту веб-поиска или запросу к базе данных: через стандартизированный интерфейс, который обрабатывает лежащую в основе сложность.
Протокол x402: Как агенты платят друг другу
Кошелек без стандарта платежей — это просто хранилище. Вторая половина видения автономных финансов Coinbase — это x402 — открытый протокол, который возрождает код состояния HTTP 402 «Payment Required» (Требуется оплата) для обеспечения платежей в стейблкоинах между агентами в режиме реального времени.
Механизм прост, но элегантен: когда ИИ-агент запрашивает услугу, требующую оплаты, сервер отвечает кодом HTTP 402 и спецификацией платежа. Агент оценивает стоимость, выполняет микроп�латеж USDC в сети через свой Agentic Wallet и повторно отправляет запрос с квитанцией об оплате. Весь обмен происходит в течение нескольких секунд, при этом стоимость транзакции составляет примерно 0,0001 доллара, а время расчета — менее 2 секунд.
С момента запуска в мае 2025 года x402 обработал более 50 миллионов транзакций, при этом на долю Solana приходится примерно 65% объема агентских платежей. Cloudflare в партнерстве с Coinbase создали x402 Foundation, при этом выпуск спецификации v1.0 намечен на третий квартал 2026 года, после чего будут применяться гарантии обратной совместимости.
Практическое значение огромно: впервые у ИИ-агентов появился стандартизированный способ оплаты услуг — не путем передачи кредитной карты или токена OAuth, которым управляет человек, а путем выполнения автономных платежей в стейблкоинах через архитектуру кошелька, которая не позволяет ключам попасть в руки агента. Это то, чего на самом деле требует «коммерция между агентами» на практике.
Четыре конкурирующих концепции кошельков, безопасных для агентов
Coinbase — не единственная команда, работающая над этой проблемой. За последние шесть месяцев появилось как минимум четыре различных архитектурных подхода к безопасности агентских кошельков, каждый из которых отражает свой набор компромиссов:
Coinbase Agentic Wallet (TEE Backend): Ключи находятся в аппаратных анклавах (TEE), полностью изолированных от логики агента. Агенты авторизуют транзакции через протокольный уровень, никогда не получая доступа к криптографическим материалам. Лучше всего подходит для: дорогостоящих автономных операций, где изоляция ключей не подлежит обсуждению.
MoonPay + Ledger (Исполнение с проверкой человеком): ИИ-агенты занимаются исследованиями, анализом портфеля и формированием сделок, но каждая транзакция в сети требует физического подтверждения на аппаратном устройстве Ledger. MoonPay также запустила Open Wallet Standard (OWS) — фреймворк с открытым исходным кодом, поддерживаемый PayPal, Circle, Ethereum Foundation и Solana Foundation, — разработанный для предоставления агентам единого интерфейса для хранения средств в нескольких сетях. Лучше всего подходит для: гибридных рабочих процессов «человек-ИИ», где одобрение человека остается обязательным.
MetaMask + EIP-7702 (Ограниченные сессионные ключи): EIP-7702 позволяет стандартным внешним аккаунтам (EOA) временно функционировать как смарт-контракт-кошельки, обеспечивая предварительно авторизованные действия агентов в определенных границах — лимиты по времени, лимиты расходов, утвержденные адреса. Модель «парковочного ключа»: агент может управлять машиной, но только со скоростью ниже 40 км/ч и не может открыть багажник. Лучше всего подходит для: потребительских агентов, где пользователи хотят частичной автономии без полной передачи прав владения.
Human.tech Agentic WaaP (Контроль человеком на уровне протокола): Вместо того чтобы добавлять надзор поверх существующей инфраструктуры кошельков, подход «Кошелек как протокол» (Wallet as a Protocol) от Human.tech встраивает криптографические пороги одобрения человеком непосредственно в архитектуру. Механизм политик обеспечивает контрольные точки с участием человека для высокорискованных действий на уровне протокола, а не приложения. Лучше всего подходит для: корпоративных сред, где соответствие нормативным требованиям требует проверяемого человеческого контроля.
Каждый подход отражает глубокое понимание того, где на самом деле кроется риск. Coinbase оптимизирует автономную работу с максимальной безопасностью ключей. MoonPay OWS оптимизирует совместимость и доверие к человеку. Сессионные ключи MetaMask оптимизируют привычный пользовательский опыт без полной передачи кастодиальных прав. Human.tech оптимизирует соблюдение нормативных требований и корпоративную проверяемость.
Почему эта архитектура важна для поверхности атаки в 45 млн долларов
Инциденты безопасности с ИИ-агентами на сумму 45 миллионов долларов в 2026 году были вызваны не сложными криптографическими атаками. Они были вызваны промпт-инъекциями — когда злоумышленники подавали вредоносные инструкции агентам, имевшим неограниченный доступ к собственным средствам.
Архитектура Agentic Wallet разрывает прямую связь между логикой агента и доступом к ключам. Даже если злоумышленнику удастся манипулировать агентом, заставив его попытаться опустошить кошелек, архитектура на базе TEE означает, что агент не может сделать это в одностороннем порядке — он может выпускать только подписанные транзакции на суммы и адреса в рамках настроенной политики авторизации.
Этот паттерн проектирования, вероятно, станет минимально жизнеспособным стандартом безопасности для любого автономного финансового агента, управляющего значительными активами. Вопрос не в том, нужно ли отделять логику агента от управления ключами — ответ в 45 миллионов долларов на этот вопрос уже получен. Вопрос в том, какая архитектура разделения победит �по мере созревания экосистемы.
Последствия для инфраструктуры разработчиков
Переход от модели встроенных ключей AgentKit к протокольному доступу Agentic Wallet представляет собой качественное развитие того, как ИИ-агенты взаимодействуют с блокчейн-инфраструктурой. Агенты превращаются из простых скриптов с прикрепленными кошельками в полноправных потребителей инфраструктуры с продвинутыми стандартными интерфейсами.
Это создает новые требования ко всему стеку. Агентам необходим надежный доступ с низкой задержкой к данным о состоянии сети для принятия решений об авторизации, мониторинга своих кошельков и выполнения сложных многоэтапных операций. Им нужны API, способные обрабатывать не только частоту запросов от людей, но и гораздо более высокую пропускную способность автономных программных взаимодействий — только в сети BNB Chain развернуто более 123 000 ИИ-агентов.
Появление стандартизированных интерфейсов агентских кошельков (MCP, x402, OWS) напоминает то, как REST API стандартизировали веб-разработку в 2000-х годах. Как только появляется стандартный интерфейс, уровень инфраструктуры под ним может быть оптимизирован независимо от прикладного уровня над ним.
BlockEden.xyz предоставляет API-инфраструктуру корпоративного уровня для более чем 200 блокчейн-сетей — уровень данных, необходимый автономным агентам для получения состояния сети в реальном времени, мониторинга транзакций и многоцепочечных операций. Изучите наш маркетплейс API, чтобы создавать инфраструктуру для агентов на фундаменте, предназначенном для машинных скоростей доступа.
Что дальше
Фундаментальный вопрос, над которым сейчас бьется индустрия, заключается в том, станут ли архитектуры на базе TEE, такие как Agentic Wallet от Coinbase, стандартом по умолчан�ию, или же для различных сценариев использования будут доминировать более легкие подходы, такие как сессионные ключи и пороги одобрения человеком.
Ответ, скорее всего, будет «всё вышеперечисленное». Высокоценные автономные операции — институциональный DeFi, кросс-чейн расчеты, корпоративное управление казначейством — сойдутся на архитектурах TEE, обеспечивающих самые сильные гарантии изоляции ключей. Потребительские агенты будут тяготеть к моделям сессионных ключей, сохраняющим привычные паттерны пользовательского контроля. Корпоративные развертывания, чувствительные к соблюдению нормативных требований, примут архитектуры типа WaaP с встроенным проверяемым человеческим контролем.
Уже сейчас ясно, что первоначальный подход «просто дайте агенту приватный ключ» ушел в прошлое. Инциденты на 45 миллионов долларов в 2026 году, атака на цепочку поставок GitHub, нацеленная на AgentKit, и собственный архитектурный поворот Coinbase коллективно вынесли вердикт: автономные финансовые агенты и незащищенные приватные ключи — это архитектура, обреченная на провал.
Агенты приходят. Вопрос в том, готовы ли кошельки, которые они используют.
Источники: Запуск Coinbase Agentic Wallets · Документация по безопасности Coinbase CDP · Протокол x402 · Cloudflare x402 Foundation · MoonPay Open Wallet Standard · Human.tech Agentic WaaP · Отчет KuCoin о нарушении безопасности ИИ-агентов