跳到主要内容

Coinbase Agentic Wallet 的可调用服务架构:为什么“脑钥分离”定义了千亿美元规模的 Agent 经济

· 阅读需 13 分钟
Dora Noda
Dora Noda
Software Engineer

2026 年 2 月,Coinbase 低调地回答了一个整个 AI-加密行业两年来一直假装在解决的问题:如何在不交出私钥的情况下,赋予自主智能体经济自主权?

答案以 npx awal 的形式出现。只需一行命令即可安装 Coinbase 的智能体钱包(Agentic Wallet)—— 这是一种受 MPC 保护、由 TEE 隔离、可通过 MCP 调用的钱包服务。任何由 LLM 驱动的智能体都可以与之对话,而无需接触助记词、签名密钥,甚至不需要接触原始交易字节。它看起来像是一个微不足道的开发工具,但实际上,它是第一个生产级的架构模式实现。这种模式将决定智能体经济是达到分析师目前公开预测的 1000 亿美元大关,还是在一系列引人注目的提示词注入漏洞中崩溃。

这种模式在云计算基础设施领域有一个名字:智能与托管的分离。2026 年,它终于来到了加密领域。

从 AgentKit 到 Agentic Wallet:无人察觉的架构转型

回到 2025 年。Coinbase 赋予智能体钱包的首次尝试是 AgentKit —— 这是一个与框架无关的 SDK,允许开发者将钱包功能直接嵌入到智能体代码中。它奏效了。黑客松团队在一个周末内就交付了自主交易机器人。但它有一个隐蔽且令人不安的特性:智能体和钱包运行在同一个进程中。决定该做什么的 LLM 同时也持有(或可以请求)执行操作的凭据。

这种安排对于 50 美元的测试网机器人来说是可以接受的。但对于管理 5 万美元的收益管理智能体来说是不可接受的,而对于 500 万美元的金库自动化机器人来说则是灾难性的。提示词注入并非假设。一旦 LLM 的上下文窗口同时包含签名权限和攻击者控制的网页,该钱包中的每一美元都可以通过自然语言获取。

2026 年 2 月 11 日发布的 Agentic Wallet 是架构上的反转。钱包不再是智能体内部的一个库。它是一个独立的、供智能体调用的服务 —— 通过 MCP、CLI 或 HTTP 风格的支付协议 —— 并且私钥永远不会离开可信执行环境(TEE),智能体进程无法检查、调试或逃逸到该环境中。

这一转变反映了云技术从单体应用服务器向具有明确信任边界的微服务的演进。2026 年,钱包成为了一个微服务。正如之前的每一次微服务转型一样,掌握边界的平台就拥有了一个隐蔽但巨大的收费站。

“可调用服务”究竟意味着什么

三个具体的属性定义了这种新架构:

1. 智能体从不持有密钥。 Coinbase 智能体钱包运行在可信执行环境(TEE)中 —— 这是 Intel TDX 级的硬件飞地,私钥在其中生成、存储并用于签署交易。智能体的 LLM 上下文包含钱包句柄、余额和允许的操作列表。它不包含且无法窃取签名材料。即使是 Coinbase 的开发者在部署后也会失去访问权限,这是借鉴自 Flashbots 和 Nous Research 早期基于 TEE 的智能体工作的架构选择。

2. 在咨询 LLM 之前执行策略。 可编程的支出限制、会话上限、单笔交易最大值和地址白名单由钱包服务而非智能体进行评估。如果提示词注入指令告诉智能体将金库资金转移到攻击者地址,智能体可能会顺从地发出调用 —— 但钱包会在 TEE 边界处拒绝该请求。确认财务操作的“纯软件模块”位于 LLM 上下文之外,提示词无法触及。

3. 智能体通过标准协议调用钱包。 这是大多数开发者目前仍低估的部分。Agentic Wallet 附带一个与 Claude、Codex 和 Gemini 兼容的 MCP 服务器,以及一个 x402 的原生绑定。x402 是 Coinbase 和 Cloudflare 开发的基于 HTTP 402 的支付协议。截至 2026 年 4 月,该协议已处理超过 1.65 亿笔交易,支持 6.9 万个活跃智能体,年化交易量接近 6 亿美元。智能体不需要 Coinbase SDK,它只需向 MCP 端点发送 JSON-RPC 请求,钱包响应,资金转移,过程中不涉及任何密钥。

第三个属性正在悄然改变一切。通过将钱包变为一种可通过 MCP 调用的服务,Coinbase 将钱包基础设施从智能体运行时中解耦 —— 正如 AWS 在 20 年前实现计算与存储的解耦一样。

1000 亿美元的问题:为什么这种架构是承重墙

行业分析师目前预测,到 2030 年,自主智能体经济将增长到 30 万亿美元,2026 年近期预测将出现 600 亿美元的 AI 代币经济,稳定币供应量预计将达到 4200 亿美元 —— 其中大部分增长由机器对机器支付驱动。CoinGecko 已经列出了超过 550 个 AI 智能体加密项目,总市值超过 40 亿美元。

这些数字都基于一个假设:智能体可以被信任去管理真实的金钱。今天,它们还做不到 —— 至少在它们持有自己的密钥时做不到。每一个主要的智能体经济预测都隐含了一个假设,即安全架构问题将得到解决。Coinbase 的赌注是,唯一可扩展的架构是推理智能体和钱包智能体相互独立的架构。

这不是营销上的区分。它直接对应于云安全的演进:

时代架构失败模式
单体服务器应用 + 数据库 + 密钥位于同一进程一处受损 = 全面沦陷
微服务每个服务相互隔离,边界处进行 IAM爆炸半径受控
零信任每次调用都经过验证,即使是内部调用侧向移动被中和

智能体行业正在重复这一历程。AgentKit 式的嵌入式钱包是单体时代。Agentic Wallets 是微服务时代。接下来的趋势 —— 智能体间的证明(agent-to-agent attestation),即推理智能体在每次调用时必须向钱包智能体证明其身份和策略合规性 —— 已经在原型阶段。

当钱包成为微服务时,谁将胜出

如果“钱包即调用式服务”(wallet-as-callable-service)成为标准架构,竞争格局将发生剧变。2026 年的智能体钱包(agent-wallet)领域已有六位重量级选手,但它们在架构上分为两个截然不同的阵营:

智能合约钱包产品 —— 专为智能体(Agent)打造:

  • Coinbase Agentic Wallets:基于 TEE 安全保障、原生支持 MCP、捆绑 x402 协议,在 Base、Polygon、Arbitrum、World 和 Solana 上提供每月 1,000 笔交易的免费额度。
  • Crossmint:唯一整合了稳定币支付通道、银行卡网络、具备 MiCA 许可的入金与出金渠道的平台 —— 在智能体必须与非加密商户交易或在欧盟合规监管下运营的场景中极具优势。
  • thirdweb:提供具有广泛链覆盖范围的开源智能体钱包原语。

签名基础设施产品 —— 开发者可自行组合的密钥管理:

  • Turnkey:跨 EVM、Solana、Bitcoin、TRON 的非托管 Enclave 签名 API,配备用于限制额度和白名单的策略引擎。
  • Privy:具有链下策略强制执行功能的嵌入式钱包和服务器钱包;2025 年 6 月被 Stripe 收购,现已成为 Stripe 推动稳定币普及的核心。
  • Alchemy:以账户抽象(Account Abstraction)为核心的签名方案,具备深度的 EVM 工具链支持。

架构上的洞察在于,这六家都在趋向于同一种分离原则。即使是最初作为开发者控制的签名库起步的 Privy 和 Turnkey,现在也发布了在智能体推理上下文之外运行的策略引擎。多签老牌项目 Safe 已将自己定位为模块化结算层,上述任何产品都可以接入其中。

“收费站理论”顺理成章:在钱包即微服务的世界里,无论哪种模型(Claude、GPT、Gemini)决定采取行动,或者该行动落地在哪条链上,钱包提供商都会对智能体的每一项经济活动收税。相比于做大语言模型(LLM)、框架甚至公链,这在结构上是一门更好的生意。

这对 Web3 基础设施意味着什么

这是大多数构建智能体经济的开发者尚未意识到的部分:可调用服务架构将智能体基础设施的消耗拆分为两种完全不同的访问模式。

推理层基础设施是读密集型的。智能体需要新鲜的链上状态、内存池(mempool)数据、代币价格、合约模拟结果、历史交易上下文。它们会进行大量的小额查询以辅助决策。其成本驱动因素是请求量和数据新鲜度。

钱包层基础设施是写密集型且对安全至关重要。钱包服务需要可靠的交易提交、鲁棒的内存池访问、MEV 感知路由以及终局性(finality)监控。其成本驱动因素是可用性(Uptime)、写入可靠性和节点级安全性。

这是两种不同的产品。它们拥有不同的 SLA、不同的扩展特性和不同的故障模式。“给我一个 RPC URL,剩下的我自己搞定”的时代正在终结。智能体级基础设施提供商必须将这两种消费模式作为一等公民产品来对待 —— 而做到这一点的提供商将捕获长达数年的增长红利。

这正是 BlockEden.xyz 为之构建的差异化方向。我们的 API 市场 为智能体推理层使用的高并发读取访问,以及钱包服务在 Sui、Aptos、Ethereum、Solana 等二十多条链上使用的高可靠交易提交,分别提供了优化的端点。如果你正在设计一个持有真金白银的智能体,钱包对 RPC 的依赖就是一个安全边界 —— 请选择以此为标准的基础设施。

接下来的关注点

以下三个信号将告诉你,是可调用服务架构赢得了胜利,还是其他架构取而代之:

  1. 钱包的 MCP 服务器数量。 随着活跃公开 MCP 服务器超过 10,000 个,以及 Anthropic 在 2025 年 12 月将 MCP 捐赠给智能体 AI 基金会(Block 和 OpenAI 也参与其中),该协议现已成为中立的基础设施。如果非 Coinbase 提供的钱包 MCP 服务器在未来两个季度激增,那么该模式就成为了真正的标准,而非特定厂商的方案。

  2. 钱包握手中的 TEE 证明。 如今,大多数智能体钱包仅通过 Token 信任请求智能体的授权。未来,它们将要求远程证明(Remote Attestation),以确保智能体在受信任的环境中运行经过批准的代码。关注 2026 年底成型的“了解你的智能体”(KYA)标准。

  3. 保险定价。 当 DeFi 保险商开始为智能体国库提供保单,并针对嵌入式钱包与可调用服务架构给出不同定价时,你就会知道市场已经决定了哪种模型实际上更安全。在大规模应用场景下,嵌入式钱包将无法承保。

Coinbase 在 2026 年 2 月 11 日下的赌注并不是 AI 智能体会管理加密货币,这在当时已是显而易见的。其赌注在于,大脑与密钥的架构分离将成为唯一可接受的生产模式,而谁掌握了钱包边界,谁就悄然掌握了整个智能体经济的命脉。三个月后,随着 x402 交易量每季度翻三倍,以及 MCP 可调用钱包服务器在生态系统中四处开花,这个赌注看起来虽早,但已不再古怪。

对于 2026 年每个构建智能体的团队来说,问题不再是“我是否应该使用智能体钱包?”,而是:“我想成为钱包,还是向钱包付钱?”

参考资料

Share on Twitter