人有人的用處:Agentic Wallet與錢包的下一個十年
一、Fat Wallet 之外,另一場錢包戰爭
Delphi Digital 在 Fat Wallet Thesis 一文中曾提出一個有力的判斷:隨著協議與應用層日益同質化,價值將沉澱到錢包層,因為錢包最接近用戶,掌握著分發渠道與訂單流,而用戶也會因為熟悉的界面、沉澱的資產和遷移摩擦,長期停留在某個錢包中。
但 Agent 並不遵循同樣的邏輯。作為「無情」的機器執行者,Agent 不會像人類一樣因為界面熟悉、品牌偏好或使用習慣而停留在某個錢包裡,會持續尋找成本最低、延遲最小、執行最穩的基礎設施組合。隨著 ERC-8004 等標準逐步普及,Agent 的身份與信譽層也有望在不同系統之間遷移,這意味著錢包對 Agent 的鎖定效應,天然弱於對人的鎖定效應。
不過這並不意味著錢包的價值消失,而是價值沉澱的位置會發生變化。在簡單的個人使用場景中,Agent 會削弱錢包原有基於界面、習慣與入口形成的護城河;而在相對複雜的組織化部署場景中,一旦企業圍繞整支「Agent 艦隊」配置了策略規則、審批流程、風控參數與審計體系,遷移成本就不再來自前端體驗,而來自整套權限、治理與運維配置的重建。
因此,Agentic Wallet 回答的是 Fat Wallet 之外的另一個命題:Fat Wallet 爭奪的是用戶入口,Agentic Wallet 爭奪的則是軟件開始直接支配資金時的控制權。
如果回顧錢包演進的歷程,會發現每一次產品形態變化,本質上都對應著用戶信任對象的變化:
- 助記詞錢包,要求用戶信任自己。
- 智能合約錢包,要求用戶信任代碼。
- 嵌入式錢包,要求用戶信任服務提供方。
- 而到了 Agentic Wallet,用戶需要信任的,是一套由權限、策略與治理機制共同構成的控制系統。
這套系統的目標,並不是讓軟件接管資金,而是讓軟件在有限授權下行動,同時讓人類始終保留最終控制權。也正因此,Agentic Wallet 的核心不只是「讓 Agent 能用錢包」,而是「讓 Agent 在可約束、可審計、可干預的條件下管理歸屬於人類用戶的資金」。
二、錢包的邊界,Agent 的起點
現有錢包在自己原本被設計的場景裡仍然運作良好,但問題在於,越來越多由 Agent 驅動的用例,正在超出現有錢包的設計邊界。
場景 1:交易 Agent 需要快速行動,但「有能力執行」不等於「被允許執行」
一個投資組合 Agent 全天候監控跨鏈流動性。當機會出現時,它需要在秒級以內完成交易。傳統錢包的控制邏輯是用戶打開應用 – 檢查交易 – 點擊確認。等這一套流程走完,機會窗口往往已經關閉。
從技術上看,Agent 已經具備調用 swap 函數、生成 calldata、橋接資金的能力,問題在於,能力不等於權限。一個 Agent 能發起交易,並不意味著它就應該被允許自由支配資金。
Agentic Wallet 的作用,正是將兩者分開:Agent 可以即時行動,但只能在預設規則內行動,例如僅限已批准資產、受日預算限制、受滑點邊界約束,並在市場條件異常時自動暫停。Skill 定義的是 Agent「能做什麼」,而錢包負責約束的是 Agent「被允許做什麼」。
場景 2:支付 Agent 需要花錢,但不應擁有全部資金控制權
一個支付 Agent 負責自動結算 API 賬單、SaaS 訂閱費用和供應商付款。在當前錢包體系裡,它通常只有兩種選擇:要麼每一筆付款都等待人工審批,要麼直接持有一個擁有無限簽名權的私鑰。前者無法擴展,後者風險過高。
Agentic Wallet 提供的是一種受限授權:它可以只向白名單商戶付款,只能使用指定資產,只能在每日預算之內執行支付,並且所有支出都被完整記錄。
場景 3:多個 Agent 需要在共享預算下擁有彼此隔離的權限
一個主體可能同時運行多個 Agent:一個負責交易,一個負責支付,一個負責審閱。當前錢包當然可以創建多個子賬戶,但對這些賬戶進行統一的權限編排、設置全局預算上限、執行跨 Agent 的策略約束,並形成統一審計鏈路,並不是現有錢包的原生能力。
而在 Agentic Wallet 模型下,這會被當作優先設計問題來處理:每個 Agent 擁有各自獨立、範圍明確的權限;與此同時,統一的策略層負責控制總體風險暴露、跨 Agent 的頻率限制與共享預算,並生成一致的審計記錄。
這些場景指向同一個結論:私鑰管理仍然是錢包安全的底座,讓 Agent 直接接觸私鑰,在任何場景下都是不可接受的風險源。但僅僅管好私鑰已經不夠。
當操作者從人變為 Agent,錢包還必須回答第二個問題:誰被允許在什麼條件下、以什麼額度、對哪些資產、向哪些對象行動。私鑰管理是第一道防線,非人類操作者的權限邊界管理,是 Agent 時代新增的第二道防火牆。
三、有界自主:Agentic Wallet 設計哲學
當前行業對 Agentic Wallet 仍處於早期探索階段,還沒有真正成熟的 Agentic Wallet 方案。不過如前言所述,本文認為的 Agentic Wallet 是一套連接人類治理與 Agent 執行的資金控制系統:人類負責設定邊界,Agent 負責邊界內行動,錢包負責確保這套約束關係始終可執行、可審計、可幹預。
同時根據 Agent 獲得的授權程度,Agentic Wallet 可能也會分別服務以下 4 種情況:
- 人類控制型: Agent 提供建議與輔助,每個操作仍需人類確認。改善的是交互效率,資金控制邏輯並未發生變化。
- 混合型: Agent 處理常規操作,例如檢索、報價、提醒或低風險執行;人類介入頻率降低,但邊界情況仍需由人審批,例如觸及資金劃轉、合約調用或異常分支。
- 有界自主型: Agent 在明確規則、限額和否決路徑內自主行動。人類從逐筆審批者轉變為規則制定者。本文所討論的 Agentic Wallet,主要指向這一類。
- 完全自主型: Agent 擁有接近完整的經濟主權,可以在沒有預設邊界的情況下獨立調度資金並承擔結果。這種模式在理論上成立,但在安全、治理、責任歸屬與合規層面仍遠未成熟,目前基本停留在實驗階段。
作為參照,Stripe 在 2025 annual letter 中將 agentic commerce 劃分為五個等級:L1 為代填表單(Eliminating web forms),L2 為描述式搜索(Descriptive search),L3 為持續記憶(Persistence),L4 為授權委託(Delegation),L5 為預判式購買(Anticipation);同時明確判斷,當前行業整體仍「徘徊在 L1 與 L2 的邊緣」。
從這個角度看,目前最大的市場需求可能來自人類控制型與混合型的場景,而有界自主是當前真正的前沿,也是 Agent 真正開始管理資金的第一個生產級形態。
實現這一構思需要四層架構:
· 賬戶層:為每個 Agent 建立獨立、隔離的經濟容器,如通過 EOA、智能合約帳戶、伺服器錢包或 TEE 環境。系統需要對不同 Agent 施加差異化規則。
· 權限層:定義 Agent 的行為邊界,如可支配額度、可操作資產、可交互合約、可執行時間窗、觸邊後的動作邏輯。這是整個架構的核心層。
· 執行層:面向 Agent 接口而非人類點擊。發送、支付、Swap、橋接、再平衡、清算、結算,都需要被抽象為可被程序直接調用的原語。
· 治理層:需提供日誌、模擬、審計追蹤、告警、暫停開關、人類否決權、恢復機制等等。該層決定 Agentic Wallet 能否真正進入生產環境。
在四層架構之上,還需要四項核心能力支撐系統運轉:
Skills:提供標準化的鏈上操作模塊。Agent 可以像調用函數一樣完成交易、支付、橋接等動作,而不必自行拼裝底層 calldata。Skill 解決的是「能做什麼」的能力抽象問題。
Policies + KYA / KYT:Policies 引擎負責對每一次操作進行規則校驗,將人類設定的邊界轉化為機器可執行的約束條件;KYA / KYT 機制則用於識別 Agent 的來源、身份、風險上下文與運行歷史。前者約束行為,後者識別操作者,二者共同確保所有資金動作始終處於預設邊界之內。
Session Key:提供限時、限額、限範圍的安全委託機制。Agent 獲得的是臨時且有限的授權,而非完整私鑰。授權到期自動失效,無需手動撤銷,「讓 Agent 在不接觸完整密鑰的前提下獲得執行資格」。
審計與通知:提供全程可追溯的操作日誌與實時預警系統。每一筆操作可回溯,每一次異常可告警,每個 Agent 可隨時暫停。
當 Agent 真正開始管理資金,僅僅在最後一步簽名顯然不夠。更合理的做法是讓權限判斷發生在執行之前:Agent 調用 Skill 之後,請求先進入錢包內部的 Policy Plane,只有通過策略校驗,執行才會被放行。
所謂 Wallet Policy Plane,借用的是系統架構中 Control Plane 與 Data Plane 的思路。它位於 Agent 行為與鏈上執行之間,把 Policies 引擎、KYT/KYA 校驗、Session Key 驗證、風險評分和異常處理整合成一個統一的決策面。
這個思路並不陌生,Stripe 的支付架構就是類似的邏輯:開發者調用的是簡潔的 API,但在資金真正移動之前,Stripe 已經在後臺完成了風險識別、規則檢查與合規處理。Agentic Wallet 要做的事情本質相同,上層給開發者一個乾淨的執行接口,下層用前置策略引擎完成權限裁決。
緊迫性在於,Prompt 注入、工具投毒、惡意 Skill、被汙染的外部輸入,這些問題不會被傳統合約審計自動解決。Agent 時代真正新增的問題是:當模型的決策過程被惡意輸入扭曲時,錢包如何識別、介入並阻斷風險。
當 Agent 與 Agent 之間開始以機器速度進行經濟交互時,控制機制就必須從系統建立之初就被內建進去。錢包的角色也會隨之改變:在早期,它是守門人,負責阻止越界行為;在成熟階段,它更接近基礎設施,負責讓可信主體以更低的摩擦持續連接帳戶、權限與結算系統。
過去十年,錢包的戰場是屏幕上那個入口。下一個十年,戰場在用戶看不見的那層控制。
四、Agentic Wallet 現狀:四條路徑與四個缺口
圍繞現有的 Agentic Wallet 方案,我們關注到 4 個典型案列,基本已經解決了「如何讓 Agent 進入資金系統」,但尚未回答「如何讓 Agent 在跨鏈與複雜的現實環境中安全地使用資金」。
第一,身份與信譽尚不可移植。
鏈上 Agent 身份與信譽系統可以建立,但跨鏈、跨錢包、跨運行環境通用的信用體系仍然不存在。一個 Agent 在某個生態中積累的歷史與信譽,無法自然遷移到另一個生態。
第二,策略層缺少統一標準。
Coinbase 使用 spending limits,Safe 使用鏈上模組,Privy 使用 policy engine,Polygon 使用 session-scoped wallet。行業已經普遍意識到權限層是核心,但尚未形成可移植、可組合、可跨產品複用的統一策略標準。
第三,對抗性安全仍高度空白。
Prompt 注入、工具投毒、惡意 Skill、被汙染的外部輸入,這些問題不會被傳統合約審計自動解決。Agent 時代真正新增的問題是:當模型的決策過程被惡意輸入扭曲時,錢包如何識別、介入並阻斷風險。
第四,全鏈覆蓋遠未實現。
現有方案大多依附於單一鏈或有限的多鏈範圍,但 Agent 的經濟活動不會長期停留在單一生態內。真正成熟的 Agentic Wallet,必須面對多鏈、多執行環境以及跨域權限一致性的問題。
五、水面之下:Agentic Wallet 下一個十年Agentic Wallet 的設計重點是賦能人類對 Agent 施加精細化控制。在大多數實現中,錢包的角色更接近一個被動的簽名器:Agent 調用 Skill,Skill 生成交易,錢包在後端完成簽名,鏈上執行隨之發生。
但如果 Agent 真正開始管理資金,僅僅在最後一步簽名顯然不夠。更合理的做法是讓權限判斷發生在執行之前:Agent 調用 Skill 之後,請求先進入錢包內部的 Policy Plane,只有通過策略校驗,執行才會被放行。
所謂 Wallet Policy Plane,借用的是系統架構中 Control Plane 與 Data Plane 的思路。它位於 Agent 行為與鏈上執行之間,把 Policies 引擎、KYT/KYA 校驗、Session Key 驗證、風險評分和異常處理整合成一個統一的決策面。
這個思路並不陌生,Stripe 的支付架構就是類似的邏輯:開發者調用的是簡潔的 API,但在資金真正移動之前,Stripe 已經在後臺完成了風險識別、規則檢查與合規處理。Agentic Wallet 要做的事情本質相同,上層給開發者一個乾淨的執行接口,下層用前置策略引擎完成權限裁決。
緊迫性在於,Prompt 注入、工具投毒、惡意 Skill、被汙染的外部輸入,這些問題不會被傳統合約審計自動解決。Agent 時代真正新增的問題是:當模型的決策過程被惡意輸入扭曲時,錢包如何識別、介入並阻斷風險。
當 Agent 與 Agent 之間開始以機器速度進行經濟交互時,控制機制就必須從系統建立之初就被內建進去。錢包的角色也會隨之改變:在早期,它是守門人,負責阻止越界行為;在成熟階段,它更接近基礎設施,負責讓可信主體以更低的摩擦持續連接帳戶、權限與結算系統。
過去十年,錢包的戰場是屏幕上那個入口。下一個十年,戰場在用戶看不見的那層控制。