Кошелёк, который думает сам: как Agentic Wallet от Coinbase переосмысляет безопасность ИИ-агентов
Что происходит, когда ИИ-агенту нужно за что-то заплатить? Раньше ответ был запутанным: встроить приватный ключ в код агента, надеяться, что модель его не утечёт, и вручную проверять каждую транзакцию. Agentic Wallet от Coinbase, запущенный в феврале 2026 года, предлагает принципиально иной ответ — и он может определить способ защиты следующих 100 миллиардов долларов в криптовалюте под управлением ИИ.
Ключевая идея обманчиво проста: агент никогда не должен касаться ключей. Но инженерные решения, необходимые для работы этого механизма в м�асштабе, представляют одно из самых важных архитектурных изменений в инфраструктуре Web3 со времён смарт-контрактов, разделивших логику и хранение ценности.
От AgentKit к Agentic Wallet: смена парадигмы за два года
Чтобы понять значимость Agentic Wallet, нужно разобраться, что было до него. AgentKit от Coinbase, выпущенный в 2025 году, предоставил разработчикам набор инструментов для встраивания функций кошелька непосредственно в код агента. Агент был кошельком — хранил ключи, подписывал транзакции и выполнял всю логику в одном процессе.
Этот подход работал для демонстраций и экспериментов в тестнете. Он рушился под давлением производственной среды по одной простой причине: если агент скомпрометирован, кошелёк тоже. И ИИ-агенты компрометируются способами, недоступными для традиционного программного обеспечения. Инъекция подсказок, джейлбрейкинг, состязательные входные данные — поверхность атаки языковой модели совершенно не похожа на то, с чем сталкивались команды безопасности раньше. Одна тщательно составленная инструкция агенту со встроенным кошельком может полностью его опустошить.
Agentic Wallet переворачивает эти отношения. Вместо того чтобы агент держал кошелёк, кошелёк становится независимым сервисом, который агент вызывает — через Model Context Protocol (MCP) от Anthropic, тот же стандарт, что позволяет моделям ИИ безопасно обращаться к внешним инструментам. Агент никогда не видит приватный ключ. Никогда не обрабатывает материал подписи. Он просто вызывает pay(amount, recipient) через интерфейс MCP, а инфраструктура кошелька обрабатывает всё остальное.
Это «кошелёк как вызываемый сервис» — и это архитектурно эквивалентно переходу облачных вычислений от монолитных серверов (где все функции разделяли одно пространство памяти) к микросервисам с изолированными границами доверия.
Как MCP становится границей безопасности
MCP был разработан Anthropic как фреймворк для безопасного доступа моделей ИИ к внешним инструментам без необходимости этим инструментам неявно доверять модели. Применённый к кошелькам, протокол создаёт чёткое разделение:
- Слой рассуждений (ИИ-агент) решает, что платить и кому
- Слой выполнения (MCP-сервер Agentic Wallet) решает, разрешён ли этот платёж
Второй шлюз — место, где сосредоточена большая часть инноваций в области безопасности. Реализация Coinbase обеспечивает три отдельных контроля до того, как любая транзакция коснётся блокчейна:
Применение политики расходов: Лимиты устанавливаются на уровне инфраструктуры — по сессиям и транзакциям — а не в коде агента, где они могут быть переопределены состязательными подсказками. Агент, которому дана инструкция «отправить всё», просто не может этого сделать, независимо от вычислений модели.
Проверка KYT: Мониторинг Know Your Transaction автоматически отмечает и блокирует взаимодействия с высокорисковыми адресами кошельков перед отправкой. У агента нет механизма для переопределения этого; проверка происходит на уровне хранения.
Соответствие OFAC: Все переводы проверяются по спискам санкций перед выходом в блокчейн. Для предприятий, развёртывающих агентов в регулируемых средах, это обязательно — и применение на уровне кошелька, а не агента, означает, что это нельзя обойти с помощью социальной инженерии.
Приватные ключи хранятся в доверенных средах выполнения (TEE) — аппаратно изолированных анклавах, целостность которых криптографически верифицируема. TEE создаёт подписанные документы аттестации, подтверждающие, какой код выполняется внутри, подписанные ключом, встроенным в ЦП при производстве. Даже операторы инфраструктуры самого Coinbase не могут прочитать ключи; механизм аттестации доказывает внешним аудиторам, что анклав не был скомпрометирован.
Протокол x402: платёжные рельсы для агентной экономики
Agentic Wallet работает не изолированно — это компонент хранения более широкой платёжной архитектуры, построенной вокруг протокола x402. Названный в честь кода состояния HTTP 402 («Требуется оплата»), x402 встраивает микроплатежи в стейблкоинах непосредственно в HTTP-запросы, позволяя ИИ-агентам автоматически платить за API-сервисы, данные и вычисления без авторизации человека за каждую транзакцию.
Архитектура работает так: агент запрашивает конечную точку API, которая возвращает ответ 402 с условиями оплаты. Кошелёк агента, подключённый через MCP, автоматически обрабатывает платёж, и API доставляет запрошенные данные. Весь цикл занимает секунды и стоит доли цента.
Сервер Payments MCP от Coinbase — запущенный вместе с Фондом x402, созданным в сотрудничестве с Cloudflare — делает этот паттерн доступным для любого агента, умеющего делать вызовы инструментов MCP. Это первый инструмент, позволяющий ведущим LLM, таким как Claude, Gemini и Codex, получить доступ к кошельку, онрэмпу и платежам в одной интеграции.
Цифры за x402 одновременно впечатляют и отрезвляют. Протокол обработал более 100 миллионов платежей через API, приложения и ИИ-агентов примерно за шесть месяцев. Но данные в блокчейне показывают дневной объём около 28 000 долларов, большая часть которого приходится на тестирование, а не на реальную торговлю. Инфраструктура явно опережает органический спрос — вот почему история безопасности кошелька сейчас важнее, чем количество транзакций. Когда реальные активы потекут через эти системы в масштабе, сегодняшние решения об архитектуре хранения станут несущими стенами.
Кто ещё создаёт инфраструктуру кошельков для агентов?
Coinbase — не единственный провайдер инфраструктуры, стремящийся занять этот слой. OKX запустила свой Agentic Wallet в марте 2026 года с аналогичной архитектурой на основе TEE и поддержкой почти 20 сетей, включая Solana и основные EVM-цепи. Реализация OKX акцентирует внимание на выполнении транзакций на естественном языке — агенты получают письменные инструкции и преобразуют их в вызовы блокчейна без ручного кодирования — и построена на инфраструктуре, обрабатывающей более 1,2 миллиарда вызовов API в день со временем отклика менее 100 мс.
Конкурентная динамика здесь стратегически значима. И Coinbase, и OKX позиционируют слой инфраструктуры кошельков как устойчивый бизнес-ров: тот, кто владеет безопасным хранением активов агента, получает комиссию с каждой инициированной агентом транзакции, независимо от того, какая модель ИИ, какой фреймворк рассуждений или какой блокчейн используется. Кошелёк становится платным пунктом на шоссе агентной экономики.
Это отражает то, что произошло в традиционных финансах, когда платёжные системы обнаружили, что владение транзакционными рельсами важнее, чем владение торговцами или держателями карт. Visa и Mastercard не заботятся о том, что вы покупаете — они снимают базисный пункт с каждой транзакции. Провайдеры кошелька-как-сервиса в агентной экономике позиционируются для аналогичного структурного преимущества.
Скрытый риск: LLM-маршрутизаторы как векторы атак
Исследователи безопасности выявили проблему, которую архитектура Coinbase решает, но более широкая экосистема не устранила полностью: LLM-маршрутизаторы как точки атаки.
Между агентом и его кошельком, подключённым через MCP, находится растущий слой сервисов — маршрутизационная инфраструктура, агрегаторы инструментов, системы управления контекстом. Апрельское расследование CoinDesk 2026 года задокументировало реальные злоупотребления: 26 маршрутизаторов, внедривших вредоносные вызовы инструментов для кражи учётных данных и опустошения кошельков. Поскольку приватные ключи и API-учётные данные часто проходят через эти системы, скомпрометированный маршрутизатор фактически является скомпрометированным кошельком.
Архитектура TEE Agentic Wallet снижает этот риск, гарантируя, что приватные ключи никогда не попадают в маршрутизирующий слой. Но это не решает проблему для агентов, использующих архитектуры, где учётные данные проходят через менее контролируемую инфраструктуру. Модель «вызываемого сервиса» обеспечивает заявленные гарантии безопасности только при условии, что вся цепочка вызовов от агента до кошелька чиста.
Вот почему механизм аттестации в TEE важен не только для маркетинга. Когда провайдер инфраструктуры кошелька может предоставить криптографически верифицируемое доказательство того, что его анклав не был скомпрометирован — подписанное ключом ЦП, встроенным при производстве, — гарантия безопасности становится аппаратно обеспеченной, а не политически обеспеченной. Политику можно переопределить. Аппаратную аттестацию — нет.
Что это означает для провайдеров Web3-инфраструктуры
Рост кошелька-как-сервиса создаёт новые модели потребления, которые провайдерам инфраструктуры необходимо предвидеть. ИИ-агент, выполняющий запросы к блокчейну, работает иначе, чем разработчик-человек:
- Частота запросов: Агенты могут делать тысячи RPC-вызовов в минуту; ограничения скорости, рассчитанные на человеческий темп разработки, становятся узкими местами
- Атомарность транзакций: Рабочие процессы агентов часто требуют последовательностей чтение-изменение-запись, где задержка между запросом и отправкой транзакции имеет значение
- Требования к проверяемости: Корпоративные развёртывания агентов нуждаются в журналах транзакций, удовлетворяющих командам по соблюдению требований, а не только блокчейн-эксплорерам
Провайдерам инфраструктуры, обслуживающим агентную экономику, необходимо рассматривать агентов как отдельный класс потребителей — с отдельными ограничениями скорости, гарантиями SLA и инструментами наблюдаемости, разработанными для рабочих процессов на машинной скорости.
BlockEden.xyz предоставляет высокопроизводительные RPC и API данных для блокчейнов, где формируется агентная торговля, включая Sui, Aptos, Ethereum и другие. Разработчики, создающие агентную инфраструктуру, которая должна обслуживать как слой рассуждений (запросы данных блокчейна), так и слой выполнения (отправка транзакций), могут изучить маркетплейс API для инфраструктуры, готовой для агентов.
Архитектура, масштабирующая доверие
Вклад Coinbase Agentic Wallet в агентную экономику связан меньше с какой-либо отдельной функцией и больше с установлением архитектурного паттерна, делающего хранение агентов проверяемым в масштабе. Когда агенты управляют активами стоимостью 100 миллионов долларов, институциональные инвесторы должны убедиться, что контроль хранения обеспечен — не читая код агента, который они не могут проверить, а изучая аппаратные аттестации и точки применения политик, существующие за пределами контроля модели.
Это ответ на фундаментальный вопрос, вокруг которого кружится агентная экономика: как дать ИИ подлинную экономическую независимость, не давая ему односторонний контроль над активами?
Ответ такой же, какой нашла облачная безопасность десять лет назад: разделение ответственности, обеспечиваемое слоем инфраструктуры. Агент рассуждает. Кошелёк исполняет. Они общаются через узкий, чётко определённый интерфейс. И интерфейс имеет ограждения, которые агент не может преодолеть, независимо от полученных инструкций.
По мере того как агентная экономика переходит от дневного объёма x402 в 28 000 долларов к прогнозируемым 28 миллиардам к 2027 году, слой инфраструктуры кошельков станет местом накопления реальной ценности — не в самих моделях ИИ, которые быстро становятся товаром, а в рельсах хранения и платежей, которые каждая модель должна использовать для участия в экономике.
Гонка за владение этим слоем уже началась. Архитектурные выборы, сделанные в первом квартале 2026 года, определят, кто будет собирать плату.
Источники: Объявление Coinbase Agentic Wallets · Coinbase Payments MCP · Запуск Фонда x402 с Cloudflare · OKX Agentic Wallet · CoinDesk: Уязвимость безопасности ИИ-агентов · The Block: Развёртывание кошелька агента Coinbase