Перейти к основному контенту

ERC-8220 и неизменяемая печать: недостающий уровень Ethereum для он-чейн управления ИИ

· 11 мин чтения
Dora Noda
Dora Noda
Software Engineer

Девяносто два процента специалистов по безопасности обеспокоены использованием ИИ-агентов внутри своих организаций. Тридцать семь процентов тех же самых организаций имеют формальную политику в области ИИ. Этот разрыв в 55 пунктов — первая строка каждой презентации для совета директоров в 2026 году, и это именно та проблема, которую ERC-8220 пытается решить ончейн.

7 апреля 2026 года на форуме Ethereum Magicians появился черновик предложения ERC-8220: Стандартный интерфейс для ончейн-управления ИИ с паттерном неизменяемой печати (Immutable Seal Pattern). Это четвертый кирпич в том, что небольшая группа основных разработчиков начала называть агентным стеком Ethereum: идентификация (ERC-8004), коммерция (ERC-8183), исполнение (ERC-8211) и теперь управление. Если стандарт достигнет статуса Final до форка Glamsterdam, он может сделать для автономных агентов то же самое, что ERC-20 сделал для взаимозаменяемых токенов — превратить хаотичное пространство проектирования в компонуемый примитив.

Ключевая идея предложения — «неизменяемая печать». Всё остальное в ERC-8220 вытекает из неё. Сделайте печать правильно, и три других стандарта внезапно обретут фундамент. Ошибитесь здесь, и весь агентный стек унаследует скрытый режим отказа.

Почему «бездоверительным агентам» вообще нужен уровень управления

ERC-8004 был запущен в основной сети Ethereum 29 января 2026 года, предоставив ИИ-агентам ончейн-идентификацию, репутацию и реестры валидации. За ним последовал ERC-8183 с программируемым эскроу, позволяющий агентам нанимать персонал, работать и получать оплату через заблокированные в смарт-контрактах средства, высвобождаемые по завершении. Вскоре после этого Biconomy и Ethereum Foundation совместно анонсировали ERC-8211 — стандарт исполнения, который позволяет агентам выполнять многошаговые DeFi-стратегии («умный батчинг») без предварительного кодирования каждого параметра во время подписания.

Вместе эти три стандарта решают три конкретные проблемы: кто этот агент?, как ему платят? и как он совершает транзакции? Но они оставляют четвертый вопрос структурно нерешенным: что именно агенту разрешено делать, и как мне узнать, что агент, работающий сегодня, — это тот же самый агент, которого я аудировал вчера?

В статье 2025 года о суверенных децентрализованных агентах это называется парадоксом бездоверительности и надежности (trustless-versus-trustworthy paradox). Как только автономный агент запечатывается в неизменяемую подложку — его ключи становятся неизвлекаемыми, а его ончейн-идентичность постоянной — люди-разработчики получают устойчивость к несанкционированному доступу, но теряют удобные рычаги контроля, ответственности и возмещения ущерба. ERC-8004 дает вам запись в реестре. Он не говорит вам, изменились ли веса и политики, стоящие за этой записью, в 3 часа ночи в прошлый вторник.

Это не теоретический пробел. Исследование Cloud Security Alliance, проведенное в апреле 2026 года, показало, что более половины организаций, использующих агентов, уже столкнулись с «нарушениями полномочий» — ситуациями, когда агенты действуют за пределами установленных границ авторизации. Скомпрометированный агент с валидным идентификатором ERC-8004 и пополненным эскроу ERC-8183 ончейн неотличим от своего честного близнеца. Пока вы не прочитаете его выходные данные. К тому времени средства из эскроу уже будут выплачены.

Неизменяемая печать: объяснение

ERC-8220 предлагает единую структуру ончейн-обязательств — печать, которая связывает зарегистрированную идентичность агента с тремя неизменяемыми утверждениями:

  1. Хеш весов модели. Криптографическое обязательство по точному набору параметров, создающих выводы (inferences) агента.
  2. Фингерпринт обучающих данных. Хеш манифеста набора данных (не самих данных), опционально представленный в виде дерева Меркла, чтобы регуляторам было доступно частичное раскрытие.
  3. Ограничения инференса. Машиночитаемый программный документ — белые списки вызовов инструментов, лимиты расходов, исключения по юрисдикциям — хешированный и зафиксированный вместе с весами.

Важно отметить, что печать является безотзывной. Как только агент регистрирует свою печать и начинает работу, эти три хеша не могут быть изменены без создания новой идентичности агента. Репутация старой идентичности, история эскроу и разрешения на исполнение не переносятся. С точки зрения блокчейна, версия 2 — это совершенно постороннее лицо.

Это звучит педантично, пока вы не сравните это с тем, как платформы агентов работают сегодня. Большинство хостинговых фреймворков позволяют операторам «горячую» замену модели, незаметное расширение белого списка инструментов или внедрение патча шаблона промпта — и всё это без разрыва идентичности, на которую полагается контрагент. Печать намеренно ломает эту схему. Агент, который хочет измениться, волен это сделать; он просто не может притворяться тем агентом, которому вы доверяли ранее.

Три конкурирующих примитива для подтверждения того, что «агент является тем, кем он себя называет»

Печать — это структура обязательств. Сама по себе она не является доказательством. Вам все еще нужен механизм, чтобы показать, что агент действительно запускает запечатанную модель с соблюдением запечатанных ограничений во время инференса. Здесь ERC-8220 сталкивается с фронтиром из трех конкурирующих примитивов аттестации, каждый из которых имеет свои компромиссы:

1. Аттестация на базе TEE (AWS Nitro, Intel TDX, AMD SEV-SNP)

Второе поколение доверенных сред исполнения (TEE) поддерживает полноценные виртуальные машины с достаточным объемом памяти для размещения реальных рабочих нагрузок машинного обучения. При загрузке анклав создает подписанную аттестацию — цепочку измерений прошивки и загруженного образа, подписанную неизвлекаемым аппаратным ключом. Верификатор сравнивает измерение с запечатанным обязательством. Если они совпадают, модель, которую запускает анклав, — это та самая модель, которая указана в печати.

Распространенный производственный паттерн сочетает аттестацию с сервисом брокера ключей (Key Broker Service): анклав представляет свою аттестацию в KMS, который выдает ключ дешифрования для запечатанных весов только в том случае, если измерения соответствуют политике. Это дает строгие гарантии на аппаратной скорости — инференс выполняется с нативной производительностью. Компромисс заключается в том, что вы доверяете корневым ключам Amazon, Intel или AMD и их микрокоду. История атак по сторонним каналам (side-channel) не внушает оптимизма.

2. ZKML (Zero-Knowledge Machine Learning — машинное обучение с нулевым разглашением)

Системы ZKML, такие как DeepProve от Lagrange, генерируют SNARK-доказательства для инференса, создавая лаконичное подтверждение того, что выходные данные Y получены из входных данных X с использованием зафиксированной модели. Верификация обходится дешево и минимизирует уровень доверия: в цепочке нет поставщиков оборудования. Основные затраты ложатся на сторону доказывающего (prover), где ZKML остается на порядки медленнее нативного инференса. Для модели с 72 миллиардами параметров, обслуживающей запросы агентов в реальном времени, ZKML в 2026 году остается лишь амбициозной целью.

3. Криптографические хеш-обязательства (система доверия со слэшингом)

Самый легковесный вариант: зафиксировать хеш весов ончейн, опубликовать сами веса оффчейн (IPFS, Arweave, S3) и позволить любому желающему проводить выборочную проверку путем пересчета хеша. Это дополняется уровнем экономической безопасности — валидаторами в стейкинге, которые могут подвергнуться слэшингу за подписание аттестаций для файла весов, который не соответствует хешу. Это дешево, быстро и поддается аудиту постфактум. Уязвимость заключается в подмене модели во время инференса, которую никто не заметит в течение окна для оспаривания.

Самый умный ход ERC-8220 заключается в отсутствии выбора конкретного метода. Печать (seal) не зависит от способа аттестации — она фиксирует, чем является агент, позволяя указывать способ верификации в поле самой печати. Агент может использовать TEE-аттестацию сегодня и перейти на ZKML, когда производительность позволит, не создавая новую идентичность, пока хеш весов остается неизменным.

Взаимодействие с остальным стеком

Четырехуровневый стек агентов работает только потому, что каждый стандарт предполагает наличие остальных. ERC-8220 — это то, что позволяет безопасно использовать остальные три:

  • Идентичность ERC-8004 становится значимой только в связке с печатью. Без неё «агент 0x742…» — это просто имя без привязки к объекту. С печатью имя ссылается на конкретный, поддающийся аудиту артефакт.
  • Эскроу ERC-8183 высвобождает средства на основе подтверждения выполнения от «нейтрального оценщика». Запечатанный агент дает оценщику конкретную базу для сравнения: соответствовал ли результат политике, хеш которой заложен в печать?
  • Смарт-батчинг ERC-8211 позволяет агентам выполнять многошаговые DeFi-стратегии. Ограничения инференса в печати определяют внешние границы: этот агент может объединять до N операций в цепочках A, B, C с лимитами газа X, Y, Z.

Это также аргумент в пользу того, почему управление (governance) появилось последним, а не первым. Невозможно осмысленно управлять агентом, у которого нет идентичности, экономических ставок и границ исполнения. Первые три стандарта создали поле деятельности, которое ERC-8220 теперь предлагает регулировать.

Регуляторная поддержка

В январе 2026 года Управление по развитию информационных технологий и коммуникаций Сингапура (IMDA) опубликовало первую в мире государственную структуру управления специально для автономных ИИ-агентов, построенную вокруг четырех измерений: ограничение рисков, человеческая подотчетность, технический контроль и ответственность конечного пользователя. Дополнение к Закону ЕС об ИИ (EU AI Act), касающееся агентов, ожидаемое до конца года, судя по всему, будет иметь ту же форму. Обе структуры требуют от разработчиков продемонстрировать — регулятору, контрагенту или суду — что именно агенту было разрешено делать и что он сделал на самом деле.

Печать создана специально для этого запроса. Зафиксированный программный документ — это артефакт «ограничения рисков». Неизменяемая связь между идентичностью и весами — артефакт «человеческой подотчетности». Метод аттестации — артефакт «технического контроля». Разработчик, владеющий запечатанным агентом, имеет доказательную базу, которая не требует криминалистического исследования логов хоста модели.

Это истинная причина, по которой ERC-8220 важен за пределами криптомира. Если он будет принят, он даст любому разработчику ИИ — не только в Web3 — способ публикации криптографических доказательств того, чем является и чем не является их агент. Это регуляторный примитив, а не только блокчейн-инструмент.

Будет ли он принят до Glamsterdam?

Честный ответ: скорее всего, не в финальной форме, но, вероятно, в виде позднего черновика, на основе которого команды клиентов смогут начать внедрение. Процесс разработки стандартов Ethereum известен своей мульти-клиентностью — та же проблема координации, которая задержала ePBS, применима и здесь. ERC-8220 не требует хардфорка (это интерфейс на уровне контракта, а не изменение протокола), поэтому он не конкурирует за пространство в слотах самого обновления Glamsterdam. За что он действительно конкурирует, так это за внимание разработчиков, а инфраструктура агентов — это самый громкий нарратив 2026 года.

Группы, выступающие за скорейшую ратификацию, представляют собой необычный союз: поставщики моделей (которые хотят стандартизированный способ рекламы своего продукта), корпоративные разработчики (которым нужна история эшелонированной защиты для советов директоров и регуляторов) и DeFi-протоколы (которые все чаще сталкиваются с трафиком от агентов и хотят оценивать риски по печати, а не по эвристике).

Группы, выступающие против, малочисленны, но весомы: это команды, чья бизнес-модель опирается на возможность незаметно обновлять модели «на лету», и вендоры TEE, которые предпочли бы, чтобы их аттестация была единственным путем к валидной печати.

На что обратить внимание в период до Glamsterdam

  • Эталонные реализации. Первая серьезная реализация ERC-8220 покажет нам, какой примитив аттестации рынок выберет по умолчанию. Я ставлю на использование TEE на начальном этапе с возможностью перехода на ZKML к 2027 году.
  • Семантика аннулирования печати. Текущий черновик умалчивает о том, что происходит, когда печать добровольно аннулируется оператором (отзыв модели, обнаруженная ошибка). Путь аннулирования — самая сложная часть стандарта, на которой он все еще может фрагментироваться.
  • Взаимодействие с репутацией ERC-8004. Если репутация запечатанного агента чисто переносится на новую печать при незначительном обновлении политики, свойство «изменение идентичности при мутации» ослабевает. Если же она не переносится вовсе, операторы будут сопротивляться использованию печатей.
  • Экосистемы оффчейн-аудиторов. Печать полезна лишь настолько, насколько полезны нейтральные аудиторы, которые её подтверждают. Ожидайте в 2026 году громкий спор, который прояснит ответственность аудиторов.

В конечном итоге стоит следить за тем, станет ли управление продуктом, а не просто издержками на комлпаенс. ERC-20 сделал это для токенов: эмитенты перестали спорить о примитивах взаимозаменяемости и начали конкурировать в вещах, построенных поверх стандарта. Если ERC-8220 добьется успеха, фраза «наш агент запечатан в соответствии с политикой X, аттестован методом Y и проверяем любым держателем печати» станет базовым маркетинговым стандартом к 2027 году — и интересная конкуренция сместится выше по стеку: к дизайну политик, выбору аудиторов и паттернам композиции печатей.

Это было бы лучшим из возможных результатов: технический стандарт настолько скучный, что о нем никто не говорит, и экосистема агентов, ставшая существенно более подотчетной просто благодаря своему существованию.

BlockEden.xyz предоставляет RPC корпоративного уровня и инфраструктуру индексации в сетях, где строятся агентские приложения — Ethereum, Sui, Aptos и других. Поскольку объем запросов от агентов растет в 10 раз быстрее, чем объем запросов от людей, лежащая в основе инфраструктура должна масштабироваться без скрытых изменений. Изучите наши услуги, чтобы строить на фундаменте, рассчитанном на долгосрочную перспективу.

Источники

Share on Twitter