Agentic Wallet 与钱包的下一个十年（转）

1984 年，苹果（Macintosh）用一个鼠标杀死了命令行。2026 年，Agent 正在杀死鼠标。
. ^  V$ T; Z% G1 a
这不是比喻。Google、亚马逊、英伟达、Visa、微软、阿里这些花了数十亿美元打磨图形界面的公司，正在主动绕开 GUI，转向 CLI、API 和 Agent 原生接口。逻辑很简单：从 0-1 的增长靠人，但下一个十倍用户群，不再看屏幕。

% p+ ]/ \  P8 z5 w- u但所有人都在回避的是：当软件的用户从人变成 Agent，人还需要在场吗？

早在 1950 年，控制论创始人维纳（Norbert Wiener）就给出过警告：一旦人类失去了观测和干预的能力，反馈回路就会断裂，系统就会失控。今天 OpenAI 所强调的「Harness Engineering」，本质上也是这一思想的延续。
& Y9 @6 v0 j8 ]9 T
! K5 ^0 _' s$ Q# y' V, R# ~七十多年后，Agentic Wallet 面对的是这个问题的加密版本。确认弹窗、签名请求、审批流程、助记词备份、多重验证... 加密钱包花了十年时间搭建的安全机制，都在回答一个问题：「这笔操作，真的是你本人授权吗？」Agent 让这套人类交互机制开始失效：继续要求逐笔人工确认，Agent 无法实现连续、实时、自动化的执行；直接把无边界的私钥控制权交给 Agent，人类会承担不可接受的风险。

答案不在两个极端。完全自主是 Agent 时代最性感的叙事，但维纳的警告依然成立。

+ b' w/ C- w! X" {5 L6 A* V我们认为，Agentic Wallet 必须同时服务两类主体：一方面为人类提供规则设定、风险控制与治理干预能力；另一方面为 Agent 提供受约束的执行权限，使其能够在明确边界内自主完成链上操作。换言之，钱包需要从人类使用的资产容器与签名工具，演变成一套让人设定边界、让 Agent 在边界内行动的权限与执行系统。
$ l7 o& K: [6 H, m
这套系统应该长什么样？这正是本文要回答的问题。
! p- \$ A  @% r. R$ h5 i
  e, E! _; B) G# z) f2 Z一、Fat Wallet 之外，另一场钱包战争
Delphi Digital 在 Fat Wallet Thesis 一文中曾提出一个有力的判断：随着协议与应用层日益同质化，价值将沉淀到钱包层，因为钱包最接近用户，掌握着分发渠道与订单流，而用户也会因为熟悉的界面、沉淀的资产和迁移摩擦，长期停留在某个钱包中。
% v6 A8 K1 ~7 a$ L8 U2 C8 ?
但 Agent 并不遵循同样的逻辑。作为「无情」的机器执行者，Agent 不会像人类一样因为界面熟悉、品牌偏好或使用习惯而停留在某个钱包里，会持续寻找成本最低、延迟最小、执行最稳的基础设施组合。随着 ERC-8004 等标准逐步普及，Agent 的身份与信誉层也有望在不同系统之间迁移，这意味着钱包对 Agent 的锁定效应，天然弱于对人的锁定效应。
% h6 n3 [3 D' V: r
3 U! K& e" D+ p+ F% @' c2 s  P不过这并不意味着钱包的价值消失，而是价值沉淀的位置会发生变化。在简单的个人使用场景中，Agent 会削弱钱包原有基于界面、习惯与入口形成的护城河；而在相对复杂的组织化部署场景中，一旦企业围绕整支「Agent 舰队」配置了策略规则、审批流程、风控参数与审计体系，迁移成本就不再来自前端体验，而来自整套权限、治理与运维配置的重建。

因此，Agentic Wallet 回答的是 Fat Wallet 之外的另一个命题：Fat Wallet 争夺的是用户入口，Agentic Wallet 争夺的则是软件开始直接支配资金时的控制权。

如果回顾钱包演进的历程，会发现每一次产品形态变化，本质上都对应着用户信任对象的变化：

· 助记词钱包，要求用户信任自己。
' }+ W! X0 i. r6 p) c
· 智能合约钱包，要求用户信任代码。
. v" ]; p, @, P& u+ T" L3 r
4 s: }! D8 c2 o) {* ~) V4 I, z" a8 R: ^· 嵌入式钱包，要求用户信任服务提供方。
8 N. K& t: Y+ i! Z! \  {7 w) ~
而到了 Agentic Wallet，用户需要信任的，是一套由权限、策略与治理机制共同构成的控制系统。
5 a3 ~& n2 W: S7 ]8 U
9 S. |! A) d+ p$ n这套系统的目标，并不是让软件接管资金，而是让软件在有限授权下行动，同时让人类始终保留最终控制权。也正因此，Agentic Wallet 的核心不只是「让 Agent 能用钱包」，而是「让 Agent 在可约束、可审计、可干预的条件下管理归属于人类用户的资金」。

' l- u  I' J/ |5 y5 W0 @; k二、钱包的边界，Agent 的起点
4 t% U9 \0 b7 S9 L# l: C+ N& _现有钱包在自己原本被设计的场景里仍然运作良好，但问题在于，越来越多由 Agent 驱动的用例，正在超出现有钱包的设计边界。
# r; d# t- p/ |8 V4 H
$ @" [- w7 m" G; C0 p场景 1：交易 Agent 需要快速行动，但「有能力执行」不等于「被允许执行」
  E2 W4 L2 ?& q3 {
一个投资组合 Agent 全天候监控跨链流动性。当机会出现时，它需要在秒级以内完成交易。传统钱包的控制逻辑是用户打开应用 - 检查交易 - 点击确认。等这一套流程走完，机会窗口往往已经关闭。

3 A  H5 p, n! \* K" G, X, K/ u从技术上看，Agent 已经具备调用 swap 函数、生成 calldata、桥接资金的能力，问题在于，能力不等于权限。一个 Agent 能发起交易，并不意味着它就应该被允许自由支配资金。
7 ?4 u1 H1 m  G' S  f  o
Agentic Wallet 的作用，正是将两者分开：Agent 可以即时行动，但只能在预设规则内行动，例如仅限已批准资产、受日预算限制、受滑点边界约束，并在市场条件异常时自动暂停。Skill 定义的是 Agent「能做什么」，而钱包负责约束的是 Agent「被允许做什么」。
0 O. O  y5 I' A
3 m1 ?, Y' U9 M/ l- b" E% l场景 2：支付 Agent 需要花钱，但不应拥有全部资金控制权

一个支付 Agent 负责自动结算 API 账单、SaaS 订阅费用和供应商付款。在当前钱包体系里，它通常只有两种选择：要么每一笔付款都等待人工审批，要么直接持有一个拥有无限签名权的私钥。前者无法扩展，后者风险过高。

& Z5 E. f( P7 @- ZAgentic Wallet 提供的是一种受限授权：它可以只向白名单商户付款，只能使用指定资产，只能在每日预算之内执行支付，并且所有支出都被完整记录。

场景 3：多个 Agent 需要在共享预算下拥有彼此隔离的权限
% W# e1 V2 x: j# l
一个主体可能同时运行多个 Agent：一个负责交易，一个负责支付，一个负责审阅。当前钱包当然可以创建多个子账户，但对这些账户进行统一的权限编排、设置全局预算上限、执行跨 Agent 的策略约束，并形成统一审计链路，并不是现有钱包的原生能力。
  D: L4 v. L1 h5 F& J; [
而在 Agentic Wallet 模型下，这会被当作优先设计问题来处理：每个 Agent 拥有各自独立、范围明确的权限；与此同时，统一的策略层负责控制总体风险暴露、跨 Agent 的频率限制与共享预算，并生成一致的审计记录。

% Y) H0 ~3 E2 ?) r# ~1 C, g) Y* t这些场景指向同一个结论：私钥管理仍然是钱包安全的底座，让 Agent 直接接触私钥，在任何场景下都是不可接受的风险源。但仅仅管好私钥已经不够。
/ B7 c) `1 B7 p
) \* H) I4 q" W当操作者从人变为 Agent，钱包还必须回答第二个问题：谁被允许在什么条件下、以什么额度、对哪些资产、向哪些对象行动。私钥管理是第一道防线，非人类操作者的权限边界管理，是 Agent 时代新增的第二道防火墙。

三、有界自主：Agentic Wallet 设计哲学
当前行业对 Agentic Wallet 仍处于早期探索阶段，还没有真正成熟的 Agentic Wallet 方案。不过如前言所述，本文认为的 Agentic Wallet 是一套连接人类治理与 Agent 执行的资金控制系统：人类负责设定边界，Agent 负责边界内行动，钱包负责确保这套约束关系始终可执行、可审计、可干预。
& Y- X, T8 W6 |& ~, Z0 a
) f+ c4 A% U9 L同时根据 Agent 获得的授权程度，Agentic Wallet 可能也会分别服务以下 4 种情况：
9 [4 B- m: k0 N) H
人类控制型： Agent 提供建议与辅助，每个操作仍需人类确认。改善的是交互效率，资金控制逻辑并未发生变化。
; u/ f0 S, V( G$ h$ \
- q! I! X( ?4 K. U- q5 N/ t混合型： Agent 处理常规操作，例如检索、报价、提醒或低风险执行；人类介入频率降低，但边界情况仍需由人审批，例如触及资金划转、合约调用或异常分支。

' Z& S- \+ Y$ f4 U4 D7 t7 e有界自主型： Agent 在明确规则、限额和否决路径内自主行动。人类从逐笔审批者转变为规则制定者。本文所讨论的 Agentic Wallet，主要指向这一类。
# K* M+ k, w/ D  u; s3 d+ M
7 L3 n& t5 `7 Z3 V; b) @* O2 c完全自主型： Agent 拥有接近完整的经济主权，可以在没有预设边界的情况下独立调度资金并承担结果。这种模式在理论上成立，但在安全、治理、责任归属与合规层面仍远未成熟，目前基本停留在实验阶段。

) J% V% R, ]" n: G作为参照，Stripe 在 2025 annual letter 中将 agentic commerce 划分为五个等级：L1 为代填表单（Eliminating web forms），L2 为描述式搜索（Descriptive search），L3 为持续记忆（Persistence），L4 为授权委托（Delegation），L5 为预判式购买（Anticipation）；同时明确判断，当前行业整体仍「徘徊在 L1 与 L2 的边缘」。
; L; {1 C- Q5 e
从这个角度看，目前最大的市场需求可能来自人类控制型与混合型的场景，而有界自主是当前真正的前沿，也是 Agent 真正开始管理资金的第一个生产级形态。
$ w  v5 h+ U; v
实现这一构思需要四层架构：
6 V1 E# E8 L# ^& s+ r$ E* b
1 }& |/ L2 H, R% {/ u4 a: \8 R+ F· 账户层：为每个 Agent 建立独立、隔离的经济容器，如通过 EOA、智能合约账户、服务器钱包或 TEE 环境。系统需要对不同 Agent 施加差异化规则。
/ [& {2 {  n, l- {2 {  W) y3 {
  X4 @# h3 T; k/ z· 权限层： 定义 Agent 的行为边界，如可支配额度、可操作资产、可交互合约、可执行时间窗、触边后的动作逻辑。这是整个架构的核心层。
8 r, B2 Z  q/ u. o+ B) Q4 L
· 执行层：面向 Agent 接口而非人类点击。发送、支付、Swap、桥接、再平衡、清算、结算，都需要被抽象为可被程序直接调用的原语。

· 治理层：需提供日志、模拟、审计追踪、告警、暂停开关、人类否决权、恢复机制等等。该层决定 Agentic Wallet 能否真正进入生产环境。


9 r! c% B9 C8 _0 n/ ^在四层架构之上，还需要四项核心能力支撑系统运转：

. }: l9 s* y9 _Skills：提供标准化的链上操作模块。Agent 可以像调用函数一样完成交易、支付、桥接等动作，而不必自行拼装底层 calldata。Skill 解决的是「能做什么」的能力抽象问题。
' v$ D- n8 b, [( J& T2 t7 E
Policies + KYA / KYT：Policies 引擎负责对每一次操作进行规则校验，将人类设定的边界转化为机器可执行的约束条件；KYA / KYT 机制则用于识别 Agent 的来源、身份、风险上下文与运行历史。前者约束行为，后者识别操作者，二者共同确保所有资金动作始终处于预设边界之内。

Session Key：提供限时、限额、限范围的安全委托机制。Agent 获得的是临时且有限的授权，而非完整私钥。授权到期自动失效，无需手动撤销，「让 Agent 在不接触完整密钥的前提下获得执行资格」。
: S+ s. m( y- l! S
审计与通知：提供全程可追溯的操作日志与实时预警系统。每一笔操作可回溯，每一次异常可告警，每一个 Agent 可随时暂停。

; h0 m- Z- ^) O0 _8 N当前，我们通常通过指令控制 Agent 的行为逻辑，但任务编排并不等于资金约束。
' Q) p# I* A2 B" `
Agent 仍可能误判、偏离，或遭受攻击与恶意输入污染。钱包层的意义正是在于将「能否动用资金、可动用多少资金、可操作哪些资产、可与哪些对象交互，以及异常情况下如何中止」等涉及资金权限的问题，预先固化为系统规则。即使 Agent 出现偏差，真正能够发生的资金动作仍被限制在预设边界之内。
2 {" E/ I5 R  \
( j! Z4 t/ a; g: j; c6 ^四、Agentic Wallet 现状：四条路径与四个缺口
围绕现有的 Agentic Wallet 方案，我们关注到 4 个典型案例，基本已经解决了「如何让 Agent 进入资金系统」，但尚未回答「如何让 Agent 在跨链与复杂的现实环境中安全地使用资金」。
1 _: S( I  y$ Y
Coinbase、Safe、Privy 与 Polygon 已经分别在基础设施、治理、权限和身份层面给出了各自可行的答案，尚未完成的是把这些局部能力进一步整合为一套可以跨链运行、跨环境迁移、在复杂对抗场景下仍然成立的统一控制体系。现阶段 Agentic Wallet 的共性瓶颈，主要集中在以下四个缺口：

第一，身份与信誉尚不可移植。
8 \- Q6 P8 w- d' W" u$ T/ C
. y. E( v+ |" V& L5 r. ^链上 Agent 身份与信誉系统可以建立，但跨链、跨钱包、跨运行环境通用的信用体系仍然不存在。一个 Agent 在某个生态中积累的历史与信誉，无法自然迁移到另一个生态。
0 }0 U2 ]0 e) E8 b' I3 g+ Z7 P
" @3 U! p/ _1 C, G; J+ V" S* \第二，策略层缺少统一标准。

Coinbase 使用 spending limits，Safe 使用链上模块，Privy 使用 policy engine，Polygon 使用 session-scoped wallet。行业已经普遍意识到权限层是核心，但尚未形成可移植、可组合、可跨产品复用的统一策略标准。

7 S( ?# p  ^6 C( u. u; H第三，对抗性安全仍高度空白。
9 s' B' I2 `- k; ?: P6 \
Prompt 注入、工具投毒、恶意 Skill、被污染的外部输入，这些问题不会被传统合约审计自动解决。Agent 时代真正新增的问题是：当模型的决策过程被恶意输入扭曲时，钱包如何识别、介入并阻断风险。
( O0 ~, a, H5 B# _/ k' g3 _1 I
3 Y) Y" z- t( ^1 I第四，全链覆盖远未实现。

现有方案大多依附于单一链或有限的多链范围，但 Agent 的经济活动不会长期停留在单一生态内。真正成熟的 Agentic Wallet，必须面对多链、多执行环境以及跨域权限一致性的问题。
  L9 i& p8 N" p: K) P2 u$ k

$ H, K8 t' [9 r& L. a$ b五、水面之下：Agentic Wallet 下一个十年
' M# v, ?, \' e/ s当前，Agentic Wallet 的设计重点是赋能人类对 Agent 施加精细化控制。在大多数实现中，钱包的角色更接近一个被动的签名器：Agent 调用 Skill，Skill 生成交易，钱包在后端完成签名，链上执行随之发生。

) f7 @4 O/ v+ [. z) D4 W3 x& `但如果 Agent 真正开始管理资金，仅仅在最后一步签名显然不够。更合理的做法是让权限判断发生在执行之前：Agent 调用 Skill 之后，请求先进入钱包内部的 Policy Plane，只有通过策略校验，执行才会被放行。
- `, h- d0 N/ U$ n
所谓 Wallet Policy Plane，借用的是系统架构中 Control Plane 与 Data Plane 的思路。它位于 Agent 行为与链上执行之间，把 Policies 引擎、KYT/KYA 校验、Session Key 验证、风险评分和异常处理整合成一个统一的决策面。
( |& d+ u2 c# Q: o
; m6 a0 }; Y, l( A这个思路并不陌生，Stripe 的支付架构就是类似的逻辑：开发者调用的是简洁的 API，但在资金真正移动之前，Stripe 已经在后台完成了风险识别、规则检查与合规处理。Agentic Wallet 要做的事情本质相同，上层给开发者一个干净的执行接口，下层用前置策略引擎完成权限裁决。
8 i7 A, `4 z8 g' R% {
* F$ v. \6 G5 _2 ^0 K; t% N紧迫性在于，Prompt 注入、工具投毒、恶意 Skill 带来的攻击面正在快速膨胀，而钱包侧的安全基础设施远没有跟上。标准化的 Wallet Policy Plane，在今天还没有成为行业通用的基础原语。
1 [4 ~2 L' m- O
不过，Policy Plane 本身也不会是终态。随着 Agent 身份与信誉体系逐步成熟，授权逻辑会从静态规则驱动转向动态信任驱动。今天靠的是预设边界、额度限制、白名单和人工否决路径；未来，链上交易记录、行为轨迹和跨生态信用数据会逐渐构成可验证的 Agent 信用基础，更多的授权决策将基于身份、历史和实际表现来做出。
" J, b7 ]8 g3 C3 A  v8 z
当 Agent 与 Agent 之间开始以机器速度进行经济交互时，控制机制就必须从系统建立之初就被内建进去。钱包的角色也会随之改变：在早期，它是守门人，负责阻止越界行为；在成熟阶段，它更接近基础设施，负责让可信主体以更低的摩擦持续连接账户、权限与结算系统。

5 R1 A; u. f# `过去十年，钱包的战场是屏幕上那个入口。下一个十年，战场在用户看不见的那层控制。
3 ^4 W$ R$ y: E3 ^

9 c7 d, P) k5 O7 j! t, B5 G7 j+ J
5 c3 [* i( D. K5 |! l
0 L  e8 H" }8 ~; Y& l+ l* U

' I( g0 z1 e0 p! x5 s2 M2 k+ w


/ h6 B% P7 h! I9 Z

原来钱包下十年是Agent抢C位？还得防着系统失控？

Agent这玩意儿真普及了，以后钱包自己就能操作，想想还挺刺激的

也是可以去关注起来看看啦。

钱包能不能坚持十年都不好说，未来谁说的准

到底还是要在看是有跟钱包有关系

AI管钱包？那输钱了找谁哭去啊，

钱包自己会操作了，那输赢算谁的啊

钱包的下一个十年，不是我们散户考虑的事

g9527 发表于 2026-3-24 17:41
- P( z: Q' D. \' x6 s! K钱包自己会操作了，那输赢算谁的啊

4 _1 U5 n3 A0 y8 [1 d' U, y0 F钱包自已操作，那你不担心它是谁的钱包吗？

可以的啊，也是会有下一个十年了

这玩意儿真要取代人？反而觉得人得更警觉才行，不然真成提线木偶了