很多人讨论AI Agent在链上怎么选策略、怎么提高收益,但很少人去盯着那个最原始的问题——你凭什么敢把执行权交出去?
现在的链上Agent大概分两种:一种是只发信号、你自己手工跟单,这种负担太重,错过机会是常态;另一种是直接托管私钥或者把无限授权丢给合约,Agent想跑就跑,这种用着心惊胆战,因为信任成本是无限的。所以我在玩过几轮之后发现,真正的障碍不是“Agent不够聪明”,而是“聪明的Agent需要太高的权限才能施展”。
Newton Protocol在这个点上给了一个我比较买账的解法:他们用ERC-4337智能账户做权限分离,再叠加zkPermissions去约束Agent能做什么、不能做什么。具体来说是这样的——你不是把钱包私钥扔给Agent,而是开一个智能账户,只把“迁移金库资金”这个特定操作授权给它。Agent在执行任何一笔交易前,都必须生成一个可验证的证明,告诉链上合约:“我确实只动了我被允许动的这部分,没有越界。”这一步非常关键,因为它把信任从“我相信这个开发者是好人”变成了“我验证这条执行没有出格”。
我自己想象过几种极端情况:比如Agent的服务器被黑了,攻击者想要把金库里的钱提到自己的地址。在传统托管模式下,这就是灾难片结局。但在这种有限授权+执行验证的结构里,即便服务器端被控制,攻击者发起的提款交易因为权限不符,直接在链上就被拒掉了,根本不会进入mempool。等于说,即便你用的策略服务方出了安全事故,你最大的损失也只是它“不再帮你赚钱”,而不是资产本身。
还有一层是质押。Newton要求运营Agent的策略提供者质押NEWT代币作为信用背书。也就是说,一个策略想挂上去收服务费,他得先压自己的资产在里面。万一出现比如恶意高频交易磨损用户本金这样的灰色行为(即使没有直接卷款),质押也会面临罚没风险。这就在“不能作恶”之上再加了一个“作恶不划算”的经济层。光是这层质押其实还不够,因为恶意操作一旦发生,光是罚掉一笔押金未必能覆盖用户的损失。但再加上前边的权限护栏,能把恶意操作的可能性先压制在一个极小的范围里,两层一配合,风险才真正被稀释到一个可容忍的程度。
当然我也没觉得这套体系就完美无瑕了。权限策略的配置本身有门槛,如果用户在开账户时胡乱授权,把关键权限也一并给了Agent,那再强的zk验证也救不回来。这跟早年大家随意approve无限代币是一个道理。未来可能还需要一套更傻瓜的权限模板,让普通用户选“保守型/激进型”就能完成设置,否则容易变成专家玩具。
还有一点值得关注的是,Agent在执行跨协议操作时,往往需要同时与多个合约交互,如果每次都生成证明,gas开销会不会吃掉收益?Newton的方案里似乎有一些批量验证的设计,但在大规模采用前,这个经济账还得继续观察。不过总体来看,这条路是在把“链上AI执行”从一个单纯依赖人品的游戏,变成一套可验证、可约束的技术框架。对真正想跑长期策略的人来说,这比一个好看的收益率回测更重要。$BTC
