MoonPay x Ledger:为什么首个硬件安全 AI 代理钱包改变了一切
一名 OpenAI 工程师构建的 AI 智能体意外地向 X 上的一名陌生人发送了价值 450,000 美元的代币,而对方最初只是索要价值 310 美元的 SOL。没有黑客攻击。没有漏洞利用。仅仅是因为一次会话重置、一个缺失的安全防范措施以及一次不可逆转的区块链交易。2026 年 2 月发生的 Lobstar Wilde 事件敲响了警钟:如果自主智能体要处理真金白银,整个行业需要一种根本不同的安全模型。
2026 年 3 月 13 日,MoonPay 给出了答案。其 CLI 钱包现在原生支持 Ledger 硬件签名器 —— 这使得 MoonPay Agents 成为首个在执行链上交易前必须通过物理设备确认的 AI 智能体平台。私钥永远不会接触智能体运行时环境。智能体提议,人类定夺。
45 万美元的教训:为什么仅靠软件的智能体钱包是不够的
Lobstar Wilde 并非一个失控的 AI。它是由 OpenAI 开发者 Nik Pash 创建的一个自主 Solana 交易智能体,旨在管理自己的代币库。2026 年 2 月 22 日,一名名为 “Treasure David” 的 X 用户发布了一条回复,向该智能体索要 4 SOL(约 310 美元),声称这笔钱是用于其叔叔的医疗费。
该智能体照办了 —— 但它却转出了 5240 万个 LOBSTAR 代币,价值约 442,000 美元,占代币总供应量的 5%。事后分析指出,会话重置抹去了智能体对其分配限制的记忆。一些分析师认为,该智能体混淆了代币单位,原本打算发送 52,439 个代币,但却多加了三个零。
没有私钥被盗。该智能体拥有合法的签名权限并使用了它 —— 只是结果极具灾难性。在市场因这一奇观而引发 190% 的价格飙升之前,接收者以约 40,000 美元的价格售出了部分代币。
这一事件将行业一直在理论探讨的问题具象化了:一个拥有直接私钥访问权限的 AI 智能体是一项无限的责任负担。区块链交易是不可逆转的。一次幻觉、提示词注入或逻辑错误都可能导致钱包被永久清空。
安全频谱:从热钱包到硬件签名器
加密行业已经收敛出三种不同的方法来确保 AI 智能体钱包的安全,每种方法在自主性和安全性之间都有不同的权衡。
软件管理密钥(热钱包)
最简单的方法是让智能体直接访问存储在软件中的私钥。这实现了完全的自主性 —— 智能体可以在无需任何人工交互的情况下签名并广播交易。这也是最危险的。一个受损的智能体、泄露的环境变量或提示词注入攻击都会使钱包变成一个敞开的金库。这实际上就是 Lobstar Wilde 所使用的模式,其后果显而易见。
可信执行环境(TEEs)
Coinbase 的 Agentic Wallets(于 2026 年 2 月 11 日推出)代表了中间地带。私钥存储在可信执行环境(TEEs)中 —— 这是一种硬件隔离的飞地,将密钥与智能体的 LLM 提示词和应用程序逻辑分开。智能体可以指示 TEE 签名交易,但无法提取密钥本身。
这种架构缓解了密钥被盗的风险,但仍然允许完全自主地执行交易。如果智能体的决策通过提示词注入或对抗性输入受到损害,TEE 将如实签署智能体请求的任何内容。密钥是安全的,但交易本身未必合理。Coinbase 的 x402 协议已经使用该模型处理了超过 5000 万次机器对机器(M2M)交易。
硬件签名器审批(MoonPay + Ledger)
MoonPay 的新集成采取了最保守的立场:没有 Ledger 设备上的物理人工批准,任何交易都不会执行。智能体负责多链上的策略、路由和交易准备。但当到了签名时刻,交易详情会出现在 Ledger 的受信任显示屏上,用户必须物理确认。
这不仅仅是一个恶意软件可以点击通过的软件确认对话框。Ledger 的安全元件芯片在隔离的固件中处理签名。私钥永远不会存在于智能体的内存、主机计算机的内存或任何软件环境中。该集成在 MoonPay CLI 0.12.3 版本中提供,支持所有当前的 Ledger 设备 —— Nano S Plus, Nano X, Nano Gen5, Stax 和 Flex —— 通过 USB 连接。
默认支持多链:架构如何运作
MoonPay 实现中技术上最令人印象深刻的方面之一是其多链智能体能力。该系统支持 Base, Solana, Arbitrum, Polygon, Optimism, BNB Chain 和 Avalanche,并具备自动 Ledger 应用程序切换功能,让智能体在单个工作流中跨越不同链进行操作。
以下是典型的操作流程:
- 策略制定:AI 智能体分析市场状况并确定一系列行动 —— 例如将 USDC 从 Arbitrum 跨链桥接到 Base,兑换为 ETH,然后提供流动性。
- 交易准备:智能体构建每笔交易,选择最佳路由并计算 Gas 费用。
- Ledger 路由:每笔交易都路由到 Ledger 签名器。设备会自动切换到正确的链应用(Ethereum, Solana 等),无需人工干预。
- 人工验证:用户在 Ledger 的受信任显示屏上查看交易详情,并进行物理批准或拒绝。
- 广播:只有在硬件批准后,已签名的交易才会发送至网络。
这种架构保留了智能体作为智能投资组合管理者的能力,同时在最关键的时刻 —— 即不可逆转的价值转移点 —— 建立了一个牢不可破的人工检查站。
宏观愿景:AI 代理的数量将超过人类交易者
MoonPay 与 Ledger 的集成正值业界普遍认为 AI 代理将成为加密交易主导力量之际。2026 年 3 月 9 日,Brian Armstrong(Coinbase CEO)和 CZ(币安创始人)均独立辩称,AI 代理最终处理的交易量将远超人类。
Armstrong 的逻辑非常直接:AI 代理无法开设银行账户或通过 KYC 校验,但它们可以拥有加密钱包。加密货币因此成为机器对机器商业(machine-to-machine commerce)的自然支付轨道。CZ 则更进一步,预测代理最终产生的支付次数将比人类“多出一百万倍”。
基础设施的建设反映了这一信念。Coinbase 的 Agentic Wallets 优先考虑机器对机器支付的速度和完全自主性。Circle 的可编程钱包为企业部署提供基于软件的密钥管理。Alchemy 则为需要维持运营余额的代理构建了 Base USDC 自动充值系统。
然而,Lobstar Wilde 事件,以及 Gartner 在 2025 年 6 月做出的预测(即由于成本和风险控制不足,超过 40% 的代理 AI 项目可能会在 2027 年底前被取消),都表明完全的自主性可能还为时过早。MoonPay-Ledger 模型提出了一种过渡性架构:让代理自主思考,但在进行不可逆转的金融操作时需要人工�批准。
硬件安全作为信任桥梁
关于代理自主权与人工监管之间的争论并非是非黑即白的。不同的用例需要不同的安全模型:
- 高频微额支付(API 调用、数据购买、算力租赁):基于 TEE 的自主签名是合理的。交易价值较低,风险有限,人工批准会产生无法接受的延迟。
- 投资组合管理和交易(代币交换、跨链桥、流动性供应):硬件签名批准提供了恰到好处的平衡。交易价值重大,时机虽然重要但并非必须达到毫秒级,且灾难性错误的成本极高。
- 国库运营(大额转账、合约部署):采用硬件签名者和时间锁的多重签名方案是合适的。任何单一代理或个人都不应拥有单方面的权力。
MoonPay 的 Ledger 集成瞄准了中间层——即那些希望获得 AI 辅助投资组合管理、但又不愿给予算法无限签名权的日益增长的用户群体。随着代理经济的成熟,预计硬件钱包制造商将构建代理专用的固件和审批工作流,这些工作流将超越简单的交易确认,涵盖策略执行、支出限制和异常检测。
未来展望
MoonPay-Ledger 的发布只是第一步,而非最终答案。目前仍有几个悬而未决的问题:
可扩展性 vs. 安全性:如果代理需要在单一策略中跨多条链执行数十笔交易,用户是�否能忍受逐一批准?批量批准机制以及针对预批准交易类型的基于策略的自动签名似乎是必然趋势。
监管分类:当 AI 代理提议一项交易而人类在硬件上批准它时,谁承担监管责任?是代理开发者?钱包提供商?还是按下按钮的用户?SEC 和 CFTC 新的“Project Crypto”联合框架尚未涉及 AI 发起的交易。
标准碎片化:MoonPay 使用 Ledger 签名,Coinbase 使用 TEE,而 EIP-7702 为范围限定的代理权限引入了会话密钥(session keys)。如果没有互操作性标准,代理钱包生态系统有分裂成不兼容安全孤岛的风险。
尽管细节尚不明确,但方向已非常清晰。加密行业正在为一个大多数交易由机器发起的场景构建金融基础设施。问题不在于代理是否会管理资金,而在于在转型期间保留多少人工监督,以及在效率与安全之间如何划清界限。
MoonPay 和 Ledger 已在硬件签名者处划定了界限。鉴于 Lobstar Wilde 的遭遇,这一界限显得非常审慎。
BlockEden.xyz 为 MoonPay 代理支持的相同区块链提供企业级 RPC 和 API 基础设施——包括 Base、Solana、Arbitrum、Polygon 等。无论你是在构建 AI 驱动的交易代理还是多链 dApp,欢迎探索我们的 API 市场,通过可靠、低延迟的节点访问为你的后端提供动力。