跳到主要内容

ERC-8220 与不可变封印:以太坊链上 AI 治理缺失的关键层

· 阅读需 13 分钟
Dora Noda
Dora Noda
Software Engineer

百分之九十二的安全专业人士对组织内部的 AI 代理感到担忧。在这些组织中,仅有 37% 制定了正式的 AI 政策。这 55 个百分点的差距是 2026 年每份董事会简报的开场白 —— 而这正是 ERC-8220 试图在链上解决的核心问题。

2026 年 4 月 7 日,一份草案提交至 Ethereum Magicians 论坛,提议制定 ERC-8220:带有不可变印封模式的链上 AI 治理标准接口。这是一小群核心开发者开始称之为“代理化以太坊栈”(agentic Ethereum stack)的第四块砖石:身份(ERC-8004)、商业(ERC-8183)、执行(ERC-8211)以及现在的治理。如果它在 Glamsterdam 分叉之前达到 Final(最终)状态,它对自主代理的作用可能就像 ERC-20 之于同质化代币一样 —— 将混乱的设计空间转化为可组合的原语。

该提案的核心思想是“不可变印封”(immutable seal)。ERC-8220 中的其他所有内容都源于此。印封设计正确,其他三个标准突然就有了立足之本。印封设计错误,整个代理栈就会继承一种无声的失败模式。

为什么“无需信任的代理”根本需要治理层

ERC-8004 于 2026 年 1 月 29 日在以太坊主网上线,为 AI 代理提供了链上身份、声誉和验证注册表。随后,ERC-8183 推出了可编程托管,允许代理通过智能合约锁定的资金(在完成后释放)来雇佣、工作和获得报酬。不久后,Biconomy 和以太坊基金会共同宣布了 ERC-8211 —— 一项执行标准,允许代理在签署时无需预先编码每个参数的情况下,执行多步骤的 DeFi 策略(“智能批处理”)。

这三个标准共同解决了三个具体问题:这个代理是谁?它如何获得报酬? 以及 它如何进行交易? 但它们在结构上留下了一个尚未回答的第四个问题:代理究竟被允许做什么,以及我如何知道今天运行的代理与我昨天审计的是同一个?

一篇关于主权去中心化代理的 2025 年论文将此称为 “无需信任”与“值得信任”的悖论 ( trustless-versus-trustworthy paradox )。一旦自主代理被封印在不可变的底层 —— 其密钥不可提取,其链上身份持久存在 —— 人类部署者获得了防篡改性,但失去了监督、责任追究和补救的便捷手段。ERC-8004 给了你一个注册条目。它无法告诉你该条目背后的权重和政策是否在周二凌晨 3 点发生了变化。

这并非理论上的空白。云安全联盟 ( Cloud Security Alliance ) 2026 年 4 月的研究发现,超过一半运行代理的组织已经经历了“权限越轨” ( scope violations ) —— 即代理的行为超出了预定的授权范围。一个被攻破的代理,如果拥有有效的 ERC-8004 身份和资金充足的 ERC-8183 托管账户,在链上与其诚实的双胞胎是无法区分的。直到你读取其输出。到那时,托管资金已经释放。

“不可变印封”详解

ERC-8220 提出了一种单一的链上承诺结构 —— 印封 ( seal ) —— 它将代理的注册身份绑定到三个不可变的声明:

  1. 模型权重哈希。 对产生代理推理结果的准确参数集的加密承诺。
  2. 训练数据指纹。 数据集清单(而非数据本身)的哈希,可选进行默克尔化 ( Merkle-ized ),以便监管机构进行部分披露。
  3. 推理约束。 机器可读的政策文件 —— 工具调用白名单、支出上限、司法管辖区排除 —— 与权重一起哈希并提交。

至关重要的是,印封是 不可撤销的。一旦代理注册了其印封并开始运行,这三个哈希值在不铸造新的代理身份的情况下无法更改。旧身份的声誉、托管历史和执行许可不会转移。从链的角度来看,第 2 版是一个陌生人。

这听起来有些刻板,直到你将其与当前的代理平台运作方式进行对比。大多数托管型代理框架允许运营商热更新模型、悄悄扩大工具白名单或推送提示词模板补丁 —— 而这一切都不会破坏下游交易对手所依赖的身份。印封设计旨在打破这种模式。想要改变的代理可以自由操作;但它不能假装成你之前信任的那个代理。

三种竞争原语:如何“证明代理名副其实”

印封是一种承诺结构。它本身并不是证明。你仍然需要一种机制来证明代理在推理时确实在密封的约束下运行密封的模型。这就是 ERC-8220 触及三种竞争性证明原语前沿的地方,每种原语都有不同的权衡:

1. 基于 TEE 的证明 ( AWS Nitro, Intel TDX, AMD SEV-SNP )

第二代可信执行环境 ( TEE ) 支持完整的虚拟机,具有足够的内存空间来托管真实的机器学习工作负载。在启动时,安全飞地 ( enclave ) 会生成一个签名的证明 ( attestation ) —— 这是对固件和加载镜像的一系列测量,由不可提取的硬件密钥签名。验证者将测量结果与密封的承诺进行比较。如果匹配,则安全飞地运行的模型就是印封所声明的模型。

一种常见的生产模式是将证明与密钥代理服务 ( Key Broker Service ) 配对:安全飞地将其证明提交给密钥管理系统 ( KMS ),仅当测量结果符合政策时,KMS 才会释放密封权重的解密密钥。这在硬件速度上为你提供了强有力的保证 —— 推理以原生性能运行。权衡在于,你信任的是 Amazon、Intel 或 AMD 的根密钥及其微代码。侧信道攻击的历史并不乐观。

2. ZKML(零知识机器学习)

像 Lagrange 的 DeepProve 这样的 ZKML 系统为推理生成 SNARKs,产生一个简洁的证明,证明在承诺的模型下,输出 Y 确实来自输入 X。验证过程成本低廉且信任最小化:无需硬件供应商参与其中。成本主要在证明者端,目前 ZKML 仍比原生推理慢几个数量级。对于一个服务于实时智能体查询的 720 亿参数模型来说,2026 年的 ZKML 仍处于愿景阶段。

3. 加密哈希承诺(带有罚没机制的荣誉系统)

这是最轻量级的选项:在链上承诺权重哈希,在链下(IPFS、Arweave、S3)发布权重,并允许任何人通过重新哈希来进行抽查。将其与经济安全层结合——如果验证者签署了与权重文件不匹配的证明,其质押的资产将被罚没(Slashing)。这种方式成本低、速度快、事后可审计。缺点是容易受到推理时替换攻击,且在挑战窗口期内可能无人察觉。

ERC-8220 最巧妙的举措在于它不作选择。印章(Seal)与证明方法无关——它承诺了智能体“是什么”,同时允许在印章本身的字段中声明“如何验证”。智能体今天可以在 TEE 证明下加盖印章,并在性能允许时迁移到 ZKML,只要底层的权重哈希保持不变,就无需铸造新的身份。

与堆栈的其他部分组合

四层智能体堆栈之所以有效,是因为每个标准都假设其他标准的存在。ERC-8220 正是让其他三个标准能够被安全使用的关键:

  • ERC-8004 身份 只有在与印章绑定时才有意义。没有印章,“智能体 0x742…” 只是一个没有指向对象的名称。有了印章,该名称就指向了一个特定的、可审计的工件。
  • ERC-8183 托管 根据“中立评估者”确认任务完成来释放资金。盖章的智能体为评估者提供了具体的评估依据——输出是否符合哈希到印章中的策略文档?
  • ERC-8211 智能批处理 允许智能体执行多步骤的 DeFi 策略。印章的推理约束定义了外部边界:该智能体可以在链 A、B、C 上批量执行最多 N 个操作,且 Gas 上限为 X、Y、Z。

这也是为什么治理最后才出现而不是最先出现的原因。你无法对一个没有身份、没有经济质押、没有执行包络的智能体进行有意义的治理。前三个标准创造了 ERC-8220 现在提议监管的接触面。

监管的东风

新加坡 IMDA 于 2026 年 1 月发布了全球首个专门针对自主 AI 智能体的政府治理框架,围绕四个维度构建:风险边界、人类责任、技术控制和最终用户责任。广受期待的欧盟 AI 法案(EU AI Act)智能体补遗案预计将在年底前发布,其形式似乎也大同小异。这两个框架都要求部署者向监管机构、交易对手或法院证明——智能体被允许做什么,以及它实际上做了什么。

“印章”正是为这一需求量身定制的。承诺的策略文档是“风险边界”工件;身份与权重之间的不可篡改绑定是“人类责任”工件;证明方法是“技术控制”工件。持有盖章智能体的部署者拥有一种辩护叙事,无需对模型宿主的日志进行取证调查。

这是 ERC-8220 在加密原生世界之外产生影响的真正原因。如果它成功发布,它将为 任何 AI 部署者(不仅仅是 Web3 部署者)提供一种发布其智能体“是与不是”加密证据的方法。这不仅是一个区块链原语,更是一个监管原语。

它会在 Glamsterdam 升级前发布吗?

诚实的回答是:可能不会以“最终(Final)”形式发布,但很可能以“草案后期”形式发布,供客户端团队开始实施。以太坊的标准制定过程是众所周知的多客户端协同——延迟 ePBS 的协调问题同样存在于此。ERC-8220 不需要硬分叉(它是一个合约层接口,而不是协议更改),因此它不会在 Glamsterdam 本身中竞争 Slot 空间。它竞争的是开发者的注意力,而智能体基础设施是 2026 年最响亮的叙事。

推动快速批准的群体是不寻常的盟友:模型提供商(希望以标准化方式宣传他们交付的产品)、企业部署者(希望为董事会和监管机构提供深度防御故事)以及 DeFi 协议(面临日益增长的智能体流量,并希望通过印章而非启发式方法来定价风险)。

反对的群体较小但很务实:其业务模式依赖于在运行中悄悄更新模型的团队,以及希望其证明技术成为获得有效印章唯一路径的 TEE 供应商。

从现在到 Glamsterdam 期间值得关注的动向

  • 参考实现。 ERC-8220 的第一个严肃实现将告诉我们市场将哪种证明原语视为默认。我赌最初是基于 TEE 的,到 2027 年将变为 ZKML 可选。
  • 印章撤销语义。 当前草案未说明当操作员自愿使印章失效(模型召回、发现漏洞)时会发生什么。撤销路径是标准中最难的部分,也是可能导致分裂的地方。
  • 与 ERC-8004 声誉的互操作性。 如果盖章智能体的声誉能在策略微调后干净地转移到新印章上,那么“变动时更换身份”的特性就会削弱。如果完全无法转移,操作员将抵触加盖印章。
  • 链下审计者生态系统。 印章的效用取决于对其进行认证的中立审计者。预计 2026 年会出现一起标志性纠纷,从而厘清审计者的责任。

最终值得关注的模式是,治理是否会成为一种 产品,而不仅仅是合规成本。ERC-20 对代币做到了这一点:发行方不再争论同质化原语,而是开始在标准之上的应用进行竞争。如果 ERC-8220 成功,“我们的智能体在策略 X 下盖章,通过方法 Y 认证,任何印章持有者均可审计”将在 2027 年成为标准的市场营销手段——而有趣的竞争将转向堆栈上方:策略设计、审计者选择和印章组合模式。

那将是最理想的结果:一个技术标准枯燥到没人讨论,而一个智能体生态系统因为它的悄然存在而变得更加负责任。

BlockEden.xyz 在构建智能体应用的链上(包括 Ethereum、Sui、Aptos 等)提供企业级 RPC 和索引基础设施。随着智能体查询量比人类查询量增长快 10 倍,底层基础设施需要在不产生静默变化的情况下实现扩展。探索我们的服务,在经得起考验的基石上进行构建。

来源

Share on Twitter