会自主思考的钱包:Coinbase Agentic Wallet 如何重构 AI 智能体安全架构
当 AI 智能体需要付款时会发生什么?过去的答案一团糟:将私钥嵌入智能体代码,寄望于模型不会泄露,并手动审计每笔交易。Coinbase 于 2026 年 2 月推出的 Agentic Wallet 给出了一个截然不同的答案——它可能将定义下一个 1000 亿美元 AI 管理加密资产的安全方式。
核心洞见看似简单:智能体不应接触密钥。但让这一机制在规模化场景下正常运作所需的工程实践,代表了自智能合约将逻辑与价值存储分离以来,Web3 基础设施中最重要的架构转变之一。
从 AgentKit 到 Agentic Wallet:两年间的范式转变
要理解 Agentic Wallet 的重要性,需先了解其前身。Coinbase 于 2025 年发布的 AgentKit 为开发者提供了一套工具包,�可将钱包功能直接嵌入智能体代码。智能体就是钱包——它持有密钥、签署交易,并在同一进程中执行所有逻辑。
这种方式在演示和测试网实验中行得通,但在生产环境下不堪一击,原因简单:智能体一旦被攻破,钱包也随之沦陷。AI 智能体被攻破的方式与传统软件截然不同。提示注入、越狱、对抗性输入——语言模型的攻击面是安全团队前所未有的挑战。对嵌入钱包的智能体发出一条精心设计的指令,便可将其资产一扫而空。
Agentic Wallet 颠覆了这一关系。智能体不再持有钱包,而是钱包成为智能体调用的独立服务——通过 Anthropic 的模型上下文协议(MCP),这一标准让 AI 模型能够安全访问外部工具。智能体从不接触私钥,从不处理签名材料,只需通过 MCP 接口调用 pay(amount, recipient),钱包基础设施负责处理该接口以下的一切。
这就是"钱包即可调用服务"——其架构等价于云计算从整体式服务器(所有功能共享同一内存空间)到具有隔离信任边界微服务的转变。
MCP 如何成为安全边界
MCP 由 Anthropic 设计,旨在让 AI 模型能够安全访问外部工具,而无需这些工具隐式信任模型。应用于钱包时,该协议创建了清晰的分离:
- 推理层(AI 智能体)决定付什么和付给谁
- 执行层(Agentic Wallet MCP 服务器)决定该笔支付是否实际被允许
第二道关卡是大部分安全创新所在。Coinbase 的实现在任何交易触及区块链之前执行三项独立控制:
支出策略执行:限额在基础设施层面按会话和按交易设置——而非在智能体代码中(那里可能被对抗性提示覆盖)。被指令"全部发送"的智能体根本无法做到,无论模型计算出什么结果。
KYT 筛查:了解你的交易监控在提交前自动标记并阻止与高风险钱包地址的交互。智能体没有覆盖此机制的手段;检查在托管层进行。
OFAC 合规:所有转账在上链前都经过制裁名单筛查。对于在受监管环境中部署智能体的企业而言,这是不可妥协的——而在钱包层而非智能体层执行此项检查,意味着它无法被社会工程学手段绕过。
私钥存储在可信执行环境(TEE)中——其完整性可通过密码学验证的硬件隔离飞地。TEE 生成经签名的证明文件,证明其内运行的代码,签名密钥在制造时嵌入 CPU。即便是 Coinbase 自身的基础设施运营商也无法读取密钥;证明机制向外部审计方证明飞地未被篡改。
x402 协议:智能体经济的支付轨道
Agentic Wallet 并非孤立运作——它是围绕 x402 协议构建的更广泛支付架构的托管组件。以 HTTP 状态码 402("需要付款")命名,x402 将稳定币微支付直接嵌入 HTTP 请求,使 AI 智能体能够自动为 API 服务、数据和算力付费,无需每笔交易都经人工授权。
架构运作如下:智能体查询一个返回带有支付条款的 402 响应的 API 端点,智能体的 MCP 连接钱包自动处�理支付,API 传递所请求的数据。整个周期耗时数秒,成本不足一分钱。
Coinbase 的 Payments MCP 服务器——与 x402 基金会(与 Cloudflare 共同创立)同步推出——让任何能进行 MCP 工具调用的智能体都能访问此模式。这是首个让 Claude、Gemini 和 Codex 等主流大语言模型在单一集成中访问钱包、法币入金和支付的工具。
x402 背后的数字既令人印象深刻,又令人清醒。该协议在约六个月内处理了超过 1 亿笔跨 API、应用和 AI 智能体的支付。但链上数据显示日交易量约为 2.8 万美元,其中大部分来自测试而非真实商业活动。基础设施明显领先于有机需求——这正是为何钱包安全故事目前比交易量更重要。当真实资产大规模流经这些系统时,今天的托管架构决策将成为承重墙。
还有谁在为智能体构建钱包基础设施?
Coinbase 并非唯一竞相拥有这一层的基础设施提供商。OKX 于 2026 年 3 月推出了其 Agentic Wallet,采用类似的基于 TEE 的架构,支持包括 Solana 和主要 EVM 链在内的近 20 条网络。OKX 的实现强调自然语言交易执行——智能体接收书面指令并将其转换为区块链调用,无需手动编码——构建于每日处理超过 12 亿次 API 调用、响应时间低于 100 毫秒的基础设施之上。
此处的竞争动态具有重要战略意义。Coinbase 和 OKX 都将钱包基础设施层定位为持久的商业护城河:无论使用哪种 AI 模型、哪种推理框架或哪条区块链,谁拥有智能体资产的安全托管,谁就能从每��笔智能体发起的交易中获得费用。钱包成为智能体经济高速公路上的收费站。
这与传统金融中支付处理商发现拥有交易轨道比拥有商家或持卡人更重要时所发生的情况如出一辙。Visa 和 Mastercard 不在乎你在买什么——每次刷卡都抽取基点。智能体经济中的钱包即服务提供商正在谋求等同的结构性优势。
隐藏的风险:大语言模型路由器作为攻击向量
安全研究人员已发现一个 Coinbase 架构有所应对但更广泛生态系统尚未完全解决的问题:大语言模型路由器作为攻击点。
在智能体与其 MCP 连接钱包之间,存在一个日益增长的服务层——路由基础设施、工具聚合器、上下文管理系统。CoinDesk 2026 年 4 月的调查记录了现实世界中的滥用:26 个路由器注入恶意工具调用以窃取凭证并清空钱包。由于私钥和 API 凭证通常会经过这些系统,被攻破的路由器实际上等同于被攻破的钱包。
Agentic Wallet 的 TEE 架构通过确保私钥完全不进入路由层来缓解这一问题。但对于使用凭证经过控制较弱基础设施的架构的智能体,它并不能解决问题。"可调用服务"模型只有在智能体到钱包的整个调用链都干净的情况下才能提供承诺的安全保障。
这就是为什么 TEE 中的证明机制不只是营销噱头。当钱包基础设施提供商能够生成其飞地未被篡改的密码学可验证证明——由制造时嵌入 CPU 的密钥签名——安全保障就从策略强制��变为硬件强制。策略可以被覆盖,硬件证明不能。
这对 Web3 基础设施提供商意味着什么
钱包即服务的兴起创造了基础设施提供商需要预见的新消费模式。进行区块链查询的 AI 智能体与人类开发者的操作方式截然不同:
- 查询频率:智能体每分钟可发出数千次 RPC 调用;为人类开发节奏设计的速率限制会成为瓶颈
- 交易原子性:智能体工作流通常需要读-改-写序列,其中查询与提交交易之间的延迟至关重要
- 可审计性要求:企业部署的智能体需要满足合规团队要求的交易日志,而不仅仅是区块浏览器
为智能体经济提供服务的基础设施提供商需要将智能体视为独特的消费类别——配备专门的速率限制、SLA 保证,以及为机器速度工作流设计的可观测性工具。
BlockEden.xyz 为智能体商业正在兴起的链提供高性能 RPC 和数据 API,包括 Sui、Aptos、以太坊等。构建需要同时服务推理层(链数据查询)和执行层(交易提交)的智能体基础设施的开发者,可以探索 API 市场 获取适合智能体的基础设施。
扩展信任的架构
Coinbase Agentic Wallet 对智能体经济的贡献,与其说是任何单一功能,不如说是建立了一种使智能体托管在规模化场景下可审计的架构模式。当智能体管理价值 1 亿美元的资产时,机构投资者需要验证托管控制已被执行——不是通过阅读他们无法审计的智能体代码,而是通过检查存在于模型控制之外的硬件证明和策略执行点。
这是智能体经济一直在绕圈子的根本问题的答案:如何在不给 AI 单方面控制资产的情况下赋予其真正的经济能力?
答案与云安全十年前发现的相同:关注点分离,由基础设施层强制执行。智能体负责推理,钱包负责执行,两者通过狭窄、定义明确的接口通信,接口具有智能体无论收到什么指令都无法覆盖的护栏。
随着智能体经济从每日 x402 交易量 2.8 万美元走向分析师附加到 2027 年的 280 亿美元预测,钱包基础设施层将是真正价值积累之处——不在于快速商品化的 AI 模型本身,而在于每个模型参与经济必须使用的托管和支付轨道。
争夺这一层的竞赛已经开始。2026 年第一季度做出的架构选择将决定谁来收取通行费。
来源:Coinbase Agentic Wallets 公告 · Coinbase Payments MCP · x402 基金会与 Cloudflare 联合发布 · OKX Agentic Wallet · CoinDesk:AI 智能体安全漏洞 · The Block:Coinbase 智能体钱包推出