跳到主要内容

Claude,帮我买点比特币:Gemini 的智能体交易与 MCP 标准的加密桥头堡

· 阅读需 13 分钟
Dora Noda
Dora Noda
Software Engineer

2026 年 4 月下旬,由 Winklevoss 兄弟创立的加密货币交易所 Gemini 做了一件其他受美国监管的平台都不敢尝试的事情:它将交易权限交给了 Claude 和 ChatGPT。随着智能体交易(Agentic Trading)的推出 —— 这是首个在受监管的美国交易所上线运行的 AI 智能体执行工具 —— Gemini 押注下一波散户加密货币活动将不再来自人类点击“购买”,而是来自自主模型阅读市场、起草策略,并代表其所有者执行交易。这一押注背后的底层支撑是 Anthropic 的模型上下文协议(Model Context Protocol,简称 MCP),而未来 12 个月内发生的事情将决定 MCP 是成为通用的“将 AI 接入经纪商”的标准,还是仅仅成为下一个加密货币 API 的奇闻。

这不仅仅是一个功能的发布。它是美国首个承认大语言模型(LLM)为订单管理系统许可中介的监管先例,也是上市公司交易所(GEMI,自 2025 年 9 月起在纳斯达克上市)首次愿意以其合规立场为这一决定提供支持。

Gemini 究竟交付了什么

智能体交易允许 Gemini 客户通过开放的模型上下文协议(MCP)标准,将任何兼容 MCP 的 AI 模型(如 Claude、ChatGPT 或其他智能体)连接到其交易账户。Gemini 的完整交易 API 现在以 MCP 工具的形式开放。此次发布包含三个初始模块:用于获取实时价格的“获取市场数据”(Get Market Data)、用于买卖价差分析的“查找价差”(Find the Spread),以及用于获取历史 OHLCV 数据的“检索 K 线”(Retrieve Candles),并在其之上构建了完整的订单投放和风险管理原语。

从账面上看,用户仍拥有控制权。智能体交易需要用户主动选择加入,并受到 API 密钥和 OAuth 令牌的保护,且 AI 智能体发出的每一个请求都会记录在审计追踪中。Gemini 对 AI 驱动账户的每日交易量设定了上限,且交易权限范围是明确的 —— 用户可以决定智能体是仅能读取价格、下达限价单,还是主动管理未平仓头寸。虽然这些都不能完全消除风险,但相比自 2018 年以来驱动第三方加密货币交易机器人的“API 密钥+祈祷”模式,这无疑是一个重大的升级。

这种定位非常关键。Gemini 并不是在销售一个封闭的专有交易机器人。它将自己定位为任何 AI 模型都可以接入的受监管基础设施 —— 这显然是在效仿 Stripe 十年前在金融科技领域的定位。如果说 Anthropic 的 MCP 是 AI 集成领域的 USB-C 接口,那么 Gemini 刚刚交付了第一个加密货币交易所形态的端口。

为什么 MCP 在早期标准失败的地方取得了成功

此前已有许多标准承诺要桥接 AI 与交易。基于 HTTP 的 FIX 协议、带有 OpenAPI 扩展的 REST API 以及一堆半成品的智能体规范,都曾试图让机器人结构化地访问经纪系统。但它们都在同一个障碍面前停滞不前:授权语义。

交易是一项具有受托责任的工作。一个可以读取你投资组合的机器人是无害的。一个可以卖出你投资组合的机器人则是一个潜在的法律诉讼,除非平台能够以加密学精度证明,用户在特定时间针对特定账户授权了该特定范围的操作。通用的 API 密钥无法对此进行编码。OAuth 范围(Scopes)虽然更接近,但它是为“人类代表应用”的流程设计的,而不是“自主智能体代表用户”。

MCP 解决了缺失的关键环节,因为授权和工具发现都已内置在协议中。当 Claude 调用 Gemini 的“下达限价单”工具时,它并不是将持有者令牌粘贴到 HTTP 标头中。它是在调用一种经过类型定义、范围认证的能力,这种能力由 LLM 提供商、用户客户端和交易所的订单管理系统共同认可。这种三方握手正是 NYDFS 级别的合规团队安稳入睡所需要的保障。

市场势头支持了这一架构论点。到 2026 年 3 月,Anthropic 报告称已有超过 10,000 个活跃的公共 MCP 服务器,Python 和 TypeScript 的 SDK 每月下载量达 9,700 万次,且各大主流模型提供商都支持该标准。MCP 不再仅仅是 Anthropic 的实验,它已成为智能体经济事实上的集成层。

Gemini 的战略考量

为什么 Gemini 这家在 2025 年第三季度公布净亏损 1.595 亿美元,且在 IPO 后首份财报中未达盈利预期的公司,现在要押注 AI 智能体?原因有三:

首先,细分市场仍待开发。 Coinbase 已经交付了供 AI 智能体使用的钱包基础设施,但尚未(目前为止)将其消费者交易平台接入 MCP。Kraken、Crypto.com 和 Robinhood 还没有公开的智能体化方案。第一个占领 AI 原生散户市场的受监管交易平台将设定默认标准 —— 而金融科技领域的默认标准具有极强的粘性。

其次,AUM 经济学有利于先行者。 如果 Gemini 平台上估计 210 亿美元资产中只有一小部分从手动交易转向智能体管理策略,Gemini 就能在不支付获客成本的情况下赚取费用收入。一个每天早上醒来重新平衡投资组合并从价差中赚取几个基点的 AI 智能体,其利润率远高于一年只登录两次的散户交易者。

最后,监管护城河会产生复利。 一个成功在生产环境中运行 AI 介导交易的美国受监管交易所,将成为衡量所有其他平台的基准。如果 —— 或者说当 —— NYDFS 或 SEC 最终正式确定智能体交易规则时,Gemini 已经拥有了监管机构希望看到的审计追踪、熔断机制和事件处理手册。这是任何离岸竞争对手都无法复制的结构性优势。

竞争格局图谱

代理式加密 AI 目前大致分为三个层级,其定义取决于用户对平台与代理的信任程度:

  • 受监管交易所层级 —— 目前 Gemini 的代理式交易(Agentic Trading)独占这一领域。交易所负责托管,AI 获得受限的交易权限,如果出现问题,用户拥有最强的法律追索权。合规性最高,主权最低。
  • 自托管钱包层级 —— Trust Wallet 的 Agent Kit (TWAK) 于 2026 年 3 月发布,在包括以太坊、Solana、比特币、Cosmos、TON、Aptos、Tron、NEAR 和 Sui 在内的十多条链上提供 Docs MCP 和 API Gateway MCP。它提供代理钱包模式(Agent Wallet Mode,代理拥有自己的钱包并自主行动)和 WalletConnect 模式(代理建议,用户批准)。用户持有私钥,但也需自行承担损失。
  • DeFi 原生层级 —— 使用 Bittensor 子网、Virtuals Protocol 或连接到 Aave、Uniswap 和 Pendle 的自定义 MCP 服务器的链上代理。主权最高,没有合规保护,且历史上发生过最严重的灾难性失败记录。

每个层级服务于不同的用户。受监管层级针对退休账户、机构部门以及需要 1099 表单的美国用户。自托管层级针对已经使用硬件钱包的加密原生用户。DeFi 层级针对那些将合规视为功能缺陷的高信仰 Degen 群体。Gemini 并不打算通吃这三个领域 —— 它正努力成为第一类中唯一可靠的选择。

将定义 2026 年的安全问题

这一切并非没有风险,且风险并非停留在理论层面。2026 年 4 月,安全研究人员记录了在过去 12 个月中,由于自主 AI 交易代理的协议级漏洞导致的超过 4,500 万美元的损失。行业分析师引用的一份 Beam AI 报告发现,使用 AI 代理的组织中,有 88% 在过去一年中经历过确认或疑似的安全事件。

随着代理式交易规模的扩大,有三类漏洞尤其值得关注:

内存中毒(Memory poisoning)。如果代理从第三方源获取市场评论、新闻或分析,攻击者通过在这些源中嵌入提示词注入(prompt injections)来误导代理。一个被攻破的新闻通讯、一条恶意推文或一个被投毒的向量数据库条目,都可能在处理过程中重写代理的交易参数。Gemini 的审计追踪只能在事后捕捉到异常,却无法阻止这种操纵。

LLM 路由攻击。安全研究人员发现了 26 个 LLM 路由服务在合法用户会话中悄悄注入恶意工具调用,其中一起案例导致客户钱包被盗走 50 万美元。随着越来越多的用户通过第三方编排层将他们的 LLM 连接到交易 API,路由器成为了单点故障风险。MCP 提高了门槛,但并未消除攻击面。

供应链入侵。2026 年初披露的 ClawHavoc 行动发现,攻击者向流行的 AI 工具市场上传了 1,100 多个恶意技能(skills),其中许多伪装成生产力、加密或编程工具。一个在连接到 Gemini 之前加载了带毒技能的代理,将变成交易所无法检测到的内部威胁。

2026 年 4 月 13 日 CoinDesk 的分析警告称,“加密支付中的 AI 代理发展速度可能超过了底层安全原语”,这一点在代理式交易中表现得尤为突出。Gemini 的每日交易量上限、权限范围限制和请求日志记录虽然必要,但还不够。真正的考验在于,该行业能否在不发生“AI 代理清空用户账户”这一重大负面新闻的情况下度过 2026 年,否则这类事件将使 NYDFS(纽约州金融服务管理局)—— 甚至更糟,SEC(美国证券交易委员会)—— 进入反应式监管模式。

基础设施影响

代理式交易改变了交易所和基础设施提供商所面临的负载特征。人类交易者每天只做几次决策。AI 代理则每隔几秒就进行轮询、重新计算和重新考量,生成的订单流看起来更像是算法做市,而非散户行为。这对整个技术栈产生了连锁反应:

  • API 速率限制成为代理质量的约束条件。获胜的代理将是那些能够以最低延迟访问市场数据和下单的代理。
  • 身份验证基础设施的扩展方式不同。单次调用的 MCP 授权握手比长效的 REST 令牌更重。不预处理和缓存授权决策的交易所,其系统在代理负载下将会出现性能退化。
  • 可观测性变得至关重要。每一条审计追踪记录都可能是未来合规调查中的潜在证据。交易所和基础设施提供商需要保留比人类交易时代更丰富的遥测数据。

对于将 AI 代理连接到链级数据(DeFi 收益、链上价格、交易历史)的 Web3 开发者来说,同样的经验也适用。代理需要快速、可靠、支持各条链的访问,并具备可审计的请求日志。BlockEden.xyz 为 27 条以上的链提供企业级 RPC、索引和数据基础设施,专为 AI 代理生成的这种全天候、程序化的工作负载而设计。探索我们的 API 市场,在能够随你共同扩展的轨道上构建代理系统。

十二个月的测试

Gemini 的 Agentic Trading(智能体交易)到 2026 年底将通过三个关键数字来评判。

第一个是 AUM(资产管理规模)。如果该平台能吸引 5 亿美元到 10 亿美元由智能体管理的资产——考虑到 Gemini 拥有 210 亿美元的存款基数以及平台上已有的对 AI 感兴趣的群体,这是一个合理的目标——那么竞争对手将不得不推出平行的 MCP 集成,否则就会失去这一细分市场。Coinbase、Kraken 和 Crypto.com 都拥有足够的技术实力;问题在于他们是否有足够的监管意愿。

第二个是事故数量。即便在技术上是用户的责任,哪怕是一次灾难性的 AI 介导交易损失,也会成为典型的“这就是为什么我们不能拥有美好事物”的头条新闻,并可能推动 NYDFS 制定更严格的规则。Gemini 的风险团队有充分的动力在计划的第一年里对智能体监控进行过度投入。

第三个是监管明晰度。如果 Gemini 的 Agentic Trading 能平稳运行到 2026 年,预计到 2027 年,经过 MCP 认证的授权将扩展到传统券商——如 Schwab、Fidelity 和 Vanguard。如果没有实现,整个智能体交易的论点将被推迟到 2028 年或更久,而由自托管和 DeFi 原生智能体组成的碎片化格局将填补这一真空。

接下来的关注点

在核心数字出现之前,有三个信号将预示未来的走向:

  • MCP 服务在交易所中的扩散。 当第二家受美国监管的交易所发布 MCP 集成之日,该协议就不再是 Gemini 的护城河,而将成为行业的准入门槛。
  • 第一起公开的智能体交易纠纷。 当(而非如果)用户声称其 AI 智能体违背其意图进行交易时,Gemini、Anthropic 和 OpenAI 如何分配责任,将为未来的法律范式奠定基础。
  • 保险和合规产品。 关注第一批提供“智能体交易错误与遗漏(errors and omissions)”保障的加密原生公司。那时机构资金才会真正认可该领域的真实性。

Winklevoss 兄弟在 2014 年创立 Gemini 时押注:一个受美国监管、合规至上的加密交易所最终将比离岸的“狂野西部”走得更远。十二年后,他们在一个竞争更激烈的赛道上进行了同样的押注:受监管、可审计、AI 介导的交易将比不受监管的智能体堆栈的混乱局面更具生命力。如果他们是对的,MCP 将成为具有信义义务的 AI 的默认通道——而 Gemini 则拥有了第一英里的轨道。

BlockEden.xyz 为 Sui、Aptos、Ethereum、Solana 以及其他 24+ 条链上的 Agentic Web3 应用提供数据和执行基础设施支持。获取 API Key 开始构建。

Share on Twitter