跳到主要内容

为什么 AI 智能体不应该持有私钥:Coinbase 的 Agentic 钱包重写了自主金融堆栈

· 阅读需 11 分钟
Dora Noda
Dora Noda
Software Engineer

去年,一起复杂的供应链攻击针对了 Coinbase 在 GitHub 上的 AgentKit 仓库。一名攻击者获得了代码库的写入权限 —— 而开发者正是使用这一工具包将私钥直接嵌入到 AI 智能体中。这次攻击在造成损害前被发现,但它揭示了一个全行业一直以来都在掩盖的令人不安的事实:构建持有自身加密密钥的自主金融智能体就像是一个定时炸弹。

2026 年 2 月,Coinbase 通过推出 Agentic Wallets 划清了界限 —— 这是一种根本不同的架构,将钱包托管与智能体逻辑完全分离。这一举措不仅仅是一个产品更新。它标志着业界意识到第一代 AI 智能体钱包设计在底层架构上是存在缺陷的,而且整个行业现在正竞相在 4500 万美元的安全事故演变成 4.5 亿美元的惨剧之前修复它。

原罪:持有自身密钥的智能体

要理解为什么 Coinbase 的架构转型至关重要,你必须了解第一代智能体钱包的实际运作方式。

AgentKit 是 Coinbase 最初的开发者工具包,它通过将私钥管理直接嵌入到智能体代码中,为 AI 智能体提供“钱包”。智能体持有密钥。智能体签署交易。智能体拥有对其控制资金的完整、无中介访问权。

这种设计对开发者来说极其简单 —— 只需调用 wallet.transfer(),智能体就会转账。但它创造了安全研究人员现在所说的“终极攻击面”:如果你能通过提示词注入(prompt injection)攻破智能体的推理逻辑,你就能掏空它的钱包。

提示词注入攻击的工作原理是通过看似合法的渠道(如智能体访问的网页、调用的 API 响应,甚至其处理的精心设计的文档)向智能体提供恶意指令。对于一个持有自身私钥的智能体来说,一次成功的提示词注入攻击就能让它将所有资产发送到攻击者控制的地址。

到 2026 年,这不再是一个理论上的风险。安全公司报告称,在部署自主 AI 智能体的组织中,有 88% 经历过已证实或疑似的安全事件。协议级弱点导致了与自主 AI 交易智能体相关的超过 4500 万美元的损失。几乎在所有案例中,最危险的攻击向量都是旨在从持有自身密钥的智能体中窃取资金的提示词注入。

Agentic Wallet 的转型:将密钥抽象到 TEE 中

Coinbase 的对策是做出了一个事后看来显而易见的架构决策:智能体根本不应该接触私钥。

Agentic Wallet 引入了一种截然不同的模型。私钥不再嵌入智能体代码,而是专门存储在可信执行环境(TEEs)中 —— 这是 Coinbase 基础设施层的专门硬件飞地,在密码学上与包括 Coinbase 自身服务器在内的所有其他部分隔离。

当 AI 智能体需要签署交易时,它不会访问密钥。它向 TEE 发送授权请求,TEE 在隔离状态下执行签名操作并仅返回已签名的交易。私钥永远不会离开飞地。智能体的大语言模型(LLM)永远看不到它。即使攻击者完全攻破了智能体的推理层,也无法提取密钥。

Coinbase 的安全团队将该系统描述为“比仅将私钥存储在磁盘上安全几个数量级”。这并非营销辞令 —— 这是一个真正的架构飞跃。v2 版服务器钱包(Server Wallet)的实现确保了账户私钥“仅在飞地内进行加密和解密,且永远不会离开 TEE”。

这一转变也改变了开发者的体验。开发者不再将密钥管理集成到智能体代码中,而是通过 CLI 或模型上下文协议(MCP)访问 Agentic Wallets —— MCP 是一种允许 AI 模型连接到外部工具的通用接口标准。智能体获取钱包的方式与其获取网络搜索工具或数据库查询权限的方式相同:通过一个处理底层复杂性的标准化接口。

x402 协议:智能体之间如何互相支付

没有支付标准的钱包只是一个金库。Coinbase 自主金融愿景的另一半是 x402 —— 这是一个开放协议,重新启用了 HTTP 402 “需要付款” 状态码,以实现智能体之间的实时稳定币支付。

该机制简单而优雅:当 AI 智能体请求一项需要付费的服务时,服务器会返回 HTTP 402 响应和支付规范。智能体评估成本,通过其 Agentic Wallet 在链上执行 USDC 微支付,并重新提交带有支付收据的请求。整个交换过程在几秒钟内完成,交易成本约为 0.0001 美元,结算时间不到 2 秒。

自 2025 年 5 月推出以来,x402 已处理了超过 5000 万笔交易,其中 Solana 约占智能体支付量的 65%。Cloudflare 已与 Coinbase 合作建立了 x402 基金会,其 v1.0 规范目标是在 2026 年第三季度发布,之后将适用向后兼容性保证。

实际意义非常重大:AI 智能体首次拥有了一种标准化的服务支付方式 —— 不是通过提交由人类管理的信用卡或 OAuth 令牌,而是通过一种能将密钥置于智能体掌控之外的钱包架构来执行自主稳定币支付。这就是“智能体对智能体商业(agent-to-agent commerce)”在实践中真正需要的。

智能体安全钱包的四种竞争愿景

Coinbase 并非唯一在思考这个问题的团队。在过去的六个月里,市场上出现了至少四种不同的智能体钱包安全架构方案,每种方案都代表了不同的权衡:

Coinbase Agentic Wallet (TEE 后端):密钥存储在硬件飞地(Hardware Enclaves)中,与智能体逻辑完全隔离。智能体通过协议层授权交易,而无需接触加密材料。最适用于:对密钥隔离有刚性需求的高价值自主操作。

MoonPay + Ledger (人工验证执行):AI 智能体负责研究、投资组合分析和交易构建,但每笔链上交易都需要在 Ledger 硬件设备上进行物理确认。MoonPay 还推出了开放钱包标准 (OWS) —— 这是一个由 PayPal、Circle、以太坊基金会和 Solana 基金会支持的开源框架,旨在为智能体在多条链上持有资金提供统一的接口。最适用于:人类审批仍为强制环节的人机混合工作流。

MetaMask + EIP-7702 (有作用域的会话密钥):EIP-7702 允许标准的外部拥有账户 (EOA) 临时充当智能合约钱包,从而在定义的边界内(如时间限制、支出上限、批准的地址)实现预授权的智能体操作。这就是“代客泊车密钥”模型:智能体可以驾驶车辆,但时速不能超过 25 英里,且无法打开后备箱。最适用于:用户希望在不转移全部控制权的情况下获得部分自主权的面向消费者的智能体。

Human.tech Agentic WaaP (协议级人工监督):Human.tech 的“钱包即协议” (Wallet as a Protocol) 方案并非将监督功能附加到现有的钱包基础设施上,而是将密码学人工审批门槛直接构建到架构中。策略引擎在协议层而非应用层为高风险操作强制执行“人工参与”检查点。最适用于:合规性要求可审计人工监督的企业环境。

每种方法都反映了对风险来源的深刻洞察。Coinbase 针对具有最高密钥安全性的自主操作进行了优化;MoonPay 的 OWS 针对互操作性和人类信任进行了优化;MetaMask 的会话密钥针对无需完全转移托管权的熟悉 UX 进行了优化;而 Human.tech 则针对监管合规性和企业可审计性进行了优化。

为什么这种架构对于 4500 万美元的攻击面至关重要

2026 年发生的 4500 万美元 AI 智能体安全事件并非由复杂的密码学攻击引起,而是由提示词注入 (Prompt Injection) 导致的 —— 攻击者向能够无障碍访问自身资金的智能体发送恶意指令。

智能体钱包架构切断了智能体推理与密钥访问之间的直接联系。即使攻击者成功操纵智能体尝试耗尽其钱包,基于 TEE 的架构也意味着智能体无法单方面执行此操作 —— 它只能在其配置的授权策略范围内,针对特定金额和地址发布签名交易。

这种设计模式很可能成为任何管理重要价值的自主金融智能体的最小可行安全标准。问题不在于是否要将智能体逻辑与密钥管理分离 —— 4500 万美元的教训已经给出了答案。问题在于,随着生态系统的成熟,哪种分离架构将最终胜出。

对开发者基础设施的影响

从 AgentKit 的嵌入式密钥模型向 Agentic Wallet 基于协议的访问转变,代表了 AI 智能体与区块链基础设施交互方式的广泛成熟。智能体正在从带有钱包的玩具脚本进化为拥有复杂、标准化接口的一等公民基础设施消费者。

这在整个堆栈中催生了新的需求。智能体需要可靠、低延迟地访问链状态数据,以做出授权决策、监控钱包并执行复杂的多步操作。它们需要的 API 不仅要能处理人类的请求频率,还要能处理自主程序化交互带来的更高吞吐量 —— 仅在 BNB Chain 上就部署了超过 123,000 个 AI 智能体。

标准化智能体钱包接口 (MCP, x402, OWS) 的出现,正如 2000 年代 REST API 标准化了 Web 开发一样。一旦有了标准接口,其下的基础设施层就可以独立于其上的应用层进行优化。

BlockEden.xyz 提供覆盖 200 多个区块链网络的企业级 API 基础设施 —— 这是自主智能体进行实时链状态查询、交易监控和多链操作所需的数据层。探索我们的 API 市场,在专为机器速度访问而设计的基石上构建智能体基础设施。

下一步动向

行业目前正在摔跤的核心问题是:像 Coinbase 的 Agentic Wallet 这样基于 TEE 的架构是否会成为默认标准,还是像会话密钥和人工审批门槛这样较轻量的方法会在不同场景中占据主导地位。

答案很可能是“以上皆有”。高价值的自主操作 —— 如机构级 DeFi、跨链结算、企业金库管理 —— 将趋向于提供最强密钥隔离保证的 TEE 架构。面向消费者的智能体将倾向于保持熟悉的用户控制模式的会话密钥模型。对合规性敏感的企业部署将采用内置可审计人工监督的 WaaP 风格架构。

显而易见的是,最初那种“直接给智能体一个私钥”的方法已经过时了。2026 年 4500 万美元的事故、针对 AgentKit 的 GitHub 供应链攻击,以及 Coinbase 自身的架构转型,共同交付了定论:自主金融智能体与无保护的私钥结合,是一种注定会失败的架构。

智能体时代正在来临。问题在于,它们使用的钱包是否已经准备就绪。

资料来源:Coinbase Agentic Wallets launch · Coinbase CDP Security documentation · x402 protocol · Cloudflare x402 Foundation · MoonPay Open Wallet Standard · Human.tech Agentic WaaP · KuCoin AI agent security breach report

Share on Twitter