Перейти к основному контенту

Архитектура вызываемого сервиса Agentic Wallet от Coinbase: почему отделение «мозга» от ключей определяет экономику агентов объемом в 100 миллиардов долларов

· 11 мин чтения
Dora Noda
Dora Noda
Software Engineer

В феврале 2026 года Coinbase незаметно ответила на вопрос, который вся AI-крипто индустрия делала вид, что решает на протяжении двух лет: как наделить автономного агента экономической субъектностью, никогда не передавая ему приватные ключи?

Ответ пришел в виде npx awal. Одна команда в терминале устанавливает Coinbase Agentic Wallet — сервис кошелька, защищенный с помощью MPC, изолированный в TEE и вызываемый через MCP, с которым может взаимодействовать любой агент на базе LLM, ни разу не видя сид-фразы, ключа подписи или даже необработанных байтов транзакции. Это выглядит как тривиальный инструмент для разработчиков. На самом деле это первая реализация архитектурного паттерна промышленного уровня, которая определит, достигнет ли экономика агентов отметки в 100 миллиардов долларов — как сейчас открыто прогнозируют аналитики — или рухнет в череду громких краж активов через промпт-инъекции.

В кругах специалистов по облачной инфраструктуре этот паттерн имеет название: отделение интеллекта от кастодиального хранения. В 2026 году он наконец-то пришел в криптосферу.

От AgentKit к Agentic Wallet: архитектурный поворот, который никто не заметил

Вернемся в 2025 год. Первая попытка Coinbase наделить агентов кошельками называлась AgentKit — SDK, не зависящий от фреймворка, который позволял разработчикам встраивать функционал кошелька непосредственно в код агента. Это работало. Команды хакатонов создавали автономных торговых ботов за выходные. Но у него было одно скрытое, неприятное свойство: агент и кошелек жили в одном процессе. LLM, которая решала, что делать, также владела — или могла запросить — учетные данные для выполнения действия.

Такая схема приемлема для тестового бота с 50 долларами. Она неприемлема для агента по управлению доходностью с активами на 50 000 долларов и катастрофична для бота по автоматизации казначейства с бюджетом в 5 миллионов долларов. Промпт-инъекция — это не гипотетическая угроза. Как только в контекстном окне LLM одновременно оказываются полномочия на подпись и контролируемая злоумышленником веб-страница, каждый доллар в этом кошельке становится доступен через обычный текст.

Agentic Wallet, выпущенный 11 февраля 2026 года, представляет собой архитектурную инверсию. Кошелек больше не является библиотекой внутри агента. Это независимый сервис, который агент вызывает — через MCP, через CLI или через платежный протокол типа HTTP — и приватные ключи никогда не покидают доверенную среду исполнения (TEE), которую процесс агента не может проинспектировать, отладить или взломать.

Этот сдвиг отражает эволюцию облачных вычислений от монолитных серверов приложений к микросервисам с четкими границами доверия. В 2026 году кошелек стал микросервисом. И, как и в случае с любым переходом на микросервисы, платформа, владеющая этой границей, становится владельцем тихой, но огромной «точки сбора пошлины».

Что на самом деле означает «вызываемый сервис»

Новую архитектуру определяют три конкретных свойства:

1. Агент никогда не владеет ключом. Кошельки Coinbase Agentic Wallet работают внутри доверенных сред исполнения (TEE) — аппаратных анклавов класса Intel TDX, где приватные ключи генерируются, хранятся и используются для подписи транзакций. Контекст LLM агента содержит идентификатор кошелька, баланс и список разрешенных операций. Он не содержит — и не может извлечь — материал для подписи. Даже разработчики Coinbase теряют доступ после развертывания; это архитектурное решение заимствовано из ранних работ Flashbots и Nous Research по созданию агентов на базе TEE.

2. Политика безопасности применяется до обращения к LLM. Программируемые лимиты расходов, ограничения сессий, максимумы на транзакцию и белые списки адресов оцениваются сервисом кошелька, а не агентом. Если инструкция, полученная через промпт-инъекцию, прикажет агенту вывести средства из казначейства на адрес злоумышленника, агент может послушно отправить запрос — но кошелек отклонит его на границе TEE. «Программный модуль», подтверждающий финансовые действия, находится за пределами контекста LLM, куда промпты не могут добраться.

3. Агент вызывает кошелек через стандартный протокол. Это та часть, которую большинство разработчиков до сих пор недооценивают. Agentic Wallet поставляется с MCP-сервером, совместимым с Claude, Codex и Gemini, и нативной привязкой к x402 — платежному протоколу Coinbase и Cloudflare на базе HTTP 402, который к апрелю 2026 года обработал более 165 миллионов транзакций, поддерживает 69 000 активных агентов и приближается к объему в 600 миллионов долларов в годовом исчислении. Агенту не нужен Coinbase SDK. Он общается по JSON-RPC с конечной точкой MCP. Кошелек отвечает. Средства перемещаются. Ключей в процессе нет.

Это третье свойство — то, что незаметно меняет всё. Сделав кошелек сервисом, вызываемым через MCP, Coinbase отделила инфраструктуру кошелька от среды выполнения агента — то же самое разделение AWS реализовала между вычислениями и хранением данных двадцать лет назад.

Вопрос на 100 миллиардов: почему эта архитектура является несущей

Отраслевые аналитики прогнозируют, что к 2030 году экономика автономных агентов вырастет до 30 триллионов долларов, при этом на 2026 год прогнозируется экономика ИИ-токенов в размере 60 миллиардов долларов, а предложение стейблкоинов, как ожидается, достигнет 420 миллиардов долларов — большая часть этого роста будет обеспечена платежами между машинами. CoinGecko уже перечисляет более 550 криптопроектов с ИИ-агентами с общей рыночной капитализацией более 4 миллиардов долларов.

Эти цифры предполагают одно: агентам можно доверить управление реальными деньгами. Сегодня это не так — по крайней мере, не тогда, когда они сами хранят свои ключи. Каждый крупный прогноз экономики агентов строится на предположении, что проблема архитектуры безопасности будет решена. Ставка Coinbase заключается в том, что единственная масштабируемая архитектура — это та, где «думающие» агенты и «кошельковые» агенты — это разные сущности.

Это не просто маркетинговое различие. Оно напрямую соотносится с тем, как развивалась облачная безопасность:

ЭпохаАрхитектураСценарий сбоя
Монолитные серверыПриложение + БД + секреты в одном процессеОдна компрометация = полный взлом
МикросервисыКаждый сервис изолирован, IAM на границахРадиус поражения ограничен
Zero trust (Нулевое доверие)Каждый вызов аутентифицируется, даже внутреннийГоризонтальное перемещение нейтрализовано

Индустрия агентов повторяет этот путь. Встроенные кошельки типа AgentKit — это эпоха монолитов. Agentic Wallets — это эпоха микросервисов. То, что будет дальше — аттестация между агентами, когда «думающие» агенты должны доказывать свою идентичность и соблюдение политик «кошельковым» агентам при каждом вызове — уже находится на стадии прототипирования.

Кто выигрывает, когда кошелек становится микросервисом

Если архитектура «кошелек как вызываемый сервис» (wallet-as-callable-service) станет стандартом, карта конкуренции кардинально изменится. В 2026 году на ландшафте агентских кошельков выделяются шесть серьезных игроков, которые делятся на два архитектурно различных лагеря:

Продукты на базе смарт-контрактных кошельков — специально разработанные для агентов:

  • Coinbase Agentic Wallets: защищенные TEE, нативные для MCP, с поддержкой x402; бесплатный уровень до 1 000 транзакций в месяц в сетях Base, Polygon, Arbitrum, World и Solana.
  • Crossmint: единственная платформа, объединяющая рельсы для стейблкоинов, карточные сети, а также лицензированные MiCA шлюзы ввода (on-ramp) и вывода (off-ramp) средств — побеждает везде, где агенты должны взаимодействовать с мерчантами вне криптопространства или работать в рамках требований ЕС.
  • thirdweb: примитивы агентских кошельков с открытым исходным кодом и широким покрытием блокчейнов.

Инфраструктурные продукты для подписи — управление ключами, которое вы настраиваете сами:

  • Turnkey: некастодиальный API для подписи на базе анклавов для EVM, Solana, Bitcoin, TRON, с движками политик для лимитов и белых списков.
  • Privy: встроенные и серверные кошельки с соблюдением политик вне блокчейна; приобретена Stripe в июне 2025 года, теперь является центральным звеном в экспансии стейблкоинов Stripe.
  • Alchemy: подпись с упором на абстракцию аккаунта и глубоким инструментарием для EVM.

Архитектурная суть заключается в том, что все шесть игроков сходятся на одном и том же принципе разделения. Даже Privy и Turnkey, которые начинали как библиотеки подписи под контролем разработчиков, теперь поставляют движки политик, работающие вне контекста рассуждений агента. Safe, ветеран мультисигов, позиционирует себя как модульный расчетный уровень, к которому может подключиться любой из этих сервисов.

Из этого напрямую следует «тезис о пункте оплаты» (toll booth thesis): в мире, где кошельки являются микросервисами, провайдер кошелька взимает комиссию за каждое экономическое действие агента, независимо от того, какая модель (Claude, GPT, Gemini) приняла решение или в каком блокчейне происходит действие. Структурно это гораздо более выгодный бизнес, чем создание LLM, фреймворка или даже самого блокчейна.

Что это значит для инфраструктуры Web3

Вот часть, которую большинство разработчиков, строящих экономику агентов, еще не осознали: архитектура вызываемых сервисов разделяет потребление инфраструктуры агентов на два совершенно разных паттерна доступа.

Инфраструктура уровня рассуждений (reasoning-layer) ориентирована на чтение. Агентам нужно актуальное состояние сети, данные мемпула, цены токенов, результаты симуляции контрактов, контекст исторических транзакций. Они делают множество мелких запросов для принятия решения. Основным фактором стоимости здесь является объем запросов и свежесть данных.

Инфраструктура уровня кошелька (wallet-layer) ориентирована на запись и критически важна для безопасности. Сервису кошелька требуется надежная отправка транзакций, устойчивый доступ к мемпулу, маршрутизация с учетом MEV и мониторинг финализации. Здесь стоимость определяется временем безотказной работы (uptime), надежностью записи и безопасностью на уровне узла.

Это разные продукты. У них разные SLA, профили масштабирования и режимы отказов. Эпоха «дай мне URL-адрес RPC, и я сам во всем разберусь» подходит к концу. Провайдеры инфраструктуры для агентов должны предлагать оба паттерна потребления как первоклассные продукты — и те, кто это сделает, поймают многолетний попутный ветер.

Это именно то раздвоение, для которого создавался BlockEden.xyz. Наш маркетплейс API предоставляет отдельные оптимизированные эндпоинты для высокообъемного доступа на чтение, используемого уровнями рассуждений агентов, и для высоконадежной отправки транзакций, используемой сервисами кошельков в Sui, Aptos, Ethereum, Solana и еще двадцати других сетях. Если вы проектируете агента, который будет распоряжаться реальными деньгами, зависимость кошелька от RPC — это граница безопасности. Выбирайте инфраструктуру, которая относится к этому именно так.

За чем следить дальше

Три сигнала подскажут вам, победила ли архитектура вызываемых сервисов или ее место займет что-то другое:

  1. Количество MCP-серверов для кошельков. С более чем 10 000 активных публичных MCP-серверов и передачей MCP в Agentic AI Foundation компанией Anthropic в декабре 2025 года (вместе с Block и OpenAI), протокол теперь является нейтральной инфраструктурой. Если в ближайшие два квартала количество MCP-серверов для кошельков от провайдеров, отличных от Coinbase, резко возрастет, значит, паттерн стал действительно стандартным, а не специфичным для одного вендора.

  2. Аттестация TEE при подтверждении связи (handshake) кошелька. Сегодня большинство агентских кошельков доверяют запрашивающему агенту просто потому, что у него есть токен. Завтра они будут требовать удаленную аттестацию того, что агент запускает одобренный код в одобренной среде. Следите за кристаллизацией стандартов «Знай своего агента» (Know Your Agent, KYA) в конце 2026 года.

  3. Цены на страхование. Когда андеррайтеры DeFi-страхования начнут предлагать полисы для казначейств агентов — и устанавливать разные цены для архитектур со встроенными кошельками и вызываемыми сервисами — вы поймете, что рынок определил, какая модель на самом деле безопаснее. Встроенные кошельки (embedded wallets) будет невозможно застраховать в больших масштабах.

Ставка, сделанная Coinbase 11 февраля 2026 года, заключалась не в том, что ИИ-агенты будут управлять криптой. Это и так было очевидно. Ставка была на то, что архитектурное разделение «мозга» и ключей станет единственным приемлемым паттерном для продакшена, и что тот, кто владеет границей кошелька, будет негласно владеть экономикой всей экосистемы агентов. Три месяца спустя, когда объем транзакций x402 увеличивается в три раза ежеквартально, а вызываемые через MCP серверы кошельков плодятся по всей экосистеме, эта ставка выглядит ранней, но уже не эксцентричной.

Вопрос для каждой команды, создающей агентов в 2026 году, больше не звучит как «стоит ли мне использовать агентский кошелек?». Он звучит так: «хочу ли я быть кошельком или платить кошельку?»

Источники

Share on Twitter