AI 代理不会杀死 SaaS
AI 代理不会杀死 SaaS
作者:Sleepy.md
AI 代理已经普及,突然之间,人们开始为 SaaS 唱挽歌。这种担忧是可以理解的:如果一个模型可以编写代码、查找 bug、调用工具并端到端完成工作流,为什么人们还要继续支付“软件席位”的费用?
这种焦虑在 2026 年初蔓延到公开市场。在 Anthropic 发布了 Claude 的新代理工具和插件后,企业软件的估值大幅调整——与其说是“软件已死”,不如说是投资者短暂地设想了一个 UI 消失、工作流被自主系统吞噬的世界(参见 Axios 关于软件抛售的报道 和 Axios 关于 Anthropic 企业插件的报道)。
加密货币也在进行同样的辩论——只是风险更高。
在区块链领域,代理不仅仅是完成任务,它还可以转移资产。一旦你赋予代理签名交易的能力,“SaaS 已死”就不再是一个博眼球的言论,而是一个随时可能发生的安全事件。现实是:AI 代理将重塑加密货币 SaaS,但它们不会杀死它。它们将提高标准,定义什么是真正的基础设施、真正的安全和真正的信任。
1) 在加密货币领域,“代理式”行为并不取代软件——它改变了软件的用途
大多数对 SaaS 的悲观看法都假设直接替代:
- 旧世界:人类在 SaaS UI 中点击按钮
- 新世界:代理进行点击
- 结论:SaaS 层变得毫无用处
但加密货币产品不仅仅是“UI”。它们是不可逆转操作的防护栏:托管边界、策略控制、审计追踪和故障隔离。代理可以自动化意图,但底层系统仍需要提供:
- 可靠的数据访问(索引、RPC、定价、风险信号)
- 确定性执行接口(API、智能合约、签名流程)
- 必要时的合规性和可审计性(机构工作流、国库操作)
- 安全控制(限额、批准、模拟、回滚策略——即使“链上无法回滚”,你仍需要预防)
换句话说,代理不会抹杀 SaaS;它们将SaaS 从“工作流 UI”转变为“可验证的基础设施”。
这尤其适用于 2025-2026 年的加密货币趋势:越来越多的链上活动是可组合的、跨领域的(L2 + 桥 + 意图),并且越来越多地面向机构(稳定币轨道、代币化的现实世界资产、国库自动化)。这些都不是“一个提示就能解决”的问题——它们是系统性问题。
2) 硬性壁垒:私钥(以及为什么代理使其更加重要)
AI 代理擅长“弄清楚下一步该做什么”。私钥则关乎“证明你被允许这样做”。
这是加密货币与 Web2 产生巨大分歧的地方。在 Web2 中,代理通常可以拥有可撤销的权限:轮换令牌、锁定账户、撤销电荷。在链上,签名交易是最终的。如果一个代理被攻破——通过提示注入、工具中毒、供应链攻击或简单的失调——其爆炸半径是即时的。
因此,问题来了:
谁是签名者?
如果你的答案是“代理”,那么你不是在设计产品——你是在将托管外包给一个概率性系统。
行业方向反而趋向于分层授权:
- 智能账户 / 账户抽象,用于以代码表达策略(支出限额、会话密钥、白名单)。一个好的入门参考是 EIP-4337(账户抽象)。
- 基于意图的执行,代理提出操作,但执行受到策略的约束。
- 人工干预审批,用于高风险操作。
- 基于硬件的签名,用于将私钥与代理运行时进行强隔离。
这正是加密货币安全仍然不可协商的地方:代理可以起草、计划和优化——但最终签名必须受到保护。
3) “SaaS 已死”实际上是“SaaS UI 已死”——加密货币应该欢迎这一点
在加密货币领域,UI 常常是最薄弱的环节:
- 用户批准恶意交易,因为他们无法解析 calldata
- 他们在错误的链上签名
- 他们信任可能被攻破的前端
- 他们盲目复制地址
- 他们在签名之前不模拟结果
AI 代理可以极大地改善用户体验——通过将原始交易意图转化为可理解的摘要,检测异常批准,并自动模拟结果。
但这并没有消除 SaaS;它将 SaaS 的价值转移到新的原语中:
代理将依赖的新的加密货币 SaaS 原语
- 交易模拟服务(预执行分析、最坏情况结果、MEV/滑点风险)
- 策略引擎(允许/拒绝规则、阈值、白名单、时间锁)
- 结构化钱包权限(会话密钥、范围限定的授权、撤销流程)
- 监控 + 警报(链上“SIEM 类”管道、异常检测)
- 证明和审计层(谁批准了什么,在什么策略下,有什么背景)
代理将不断调用这些服务。如果说有影响的话,代理式工作流会增加 SaaS 的使用量——因为它们会产生更多的操作、更多的交易以及对防护栏的更多需求。
4) 代理攻击并非假设——提示注入变成“交易注入”
如果你构建连接代理的加密货币应用,你现在就处于经典 AI 威胁直接映射到财务损失的世界。
两个实际原则有帮助:
原则 A:将模型视为不可信
假设代理可能会被敌对输入操纵。你的系统必须强制执行:
- 工具调用的明确白名单(允许哪些合约、哪些方法、哪些链)
- 最高支出限额
- 严格的输出模式(不允许“自由格式”执行)
- 签名之前的强制模拟和检查
关于一般的安全背景,Web 安全社区的心态很有用——参见 OWASP Top 10。
原则 B:让每一次高风险操作都需要一个经过加固的签名边界
你需要一个签名边界,它应该是:
- 独立于代理运行时
- 抗恶意软件
- 明确确认目的地、金额和网络
- 设计用于人工验证
这正是自托管实践——特别是硬件钱包——在代理时代变得更加重要,而不是不重要的地方。
5) 这对 2026 年的“加密货币 SaaS”公司意味着什么
如果你经营一个看起来像 SaaS 的加密货币产品——仪表板、分析、国库操作、投资组合自动化、合规工具——那么机会不在于“与代理竞争”,而在于成为代理原生基础设施。
简单的重新定位通常有效:
- 从:“我们为人类提供仪表板。”
- 变为:“我们为代理和人类提供可靠的、受策略约束的执行和风险层。”
成为代理原生的清单(且不失控)
- 公开确定性的 API:偏好结构化端点而非 UI 自动化。
- 提供机器可读的风险输出:不仅仅是图表;返回明确的信号(例如,高滑点风险、不安全的批准范围)。
- 首先提供策略控制:限额、基于角色的批准、链白名单。
- 为可审计性设计:能够经受争议的日志(“代理为什么这样做?”)。
- 支持智能账户和范围限定的权限:以便自动化可以默认安全。
- 分离计划和签名:让代理提出建议;要求加固签名来执行。
这与 DevOps 的演进故事相同:CI/CD 并没有杀死软件团队——它迫使他们变得更有纪律。代理也不会杀死加密货币 SaaS——它们将迫使它变得更安全、更具可组合性、更具问责制。
6) OneKey 的作用(当 AI 负责“思考”时)
如果 AI 承担更多的计划和自动化工作,你的攻击面就会扩大。“大脑”(代理)将面临:
- 浏览器、插件和不受信任的 Web 内容
- 工具 API 和第三方服务
- 以“有用说明”为幌子的提示注入尝试
- 自动化管道中受损的依赖项
这就是为什么签名设备应该被隔离。
像 OneKey 这样的硬件钱包可以作为最终的、经过加固的批准层:代理可以准备一个未签名的交易,但私钥保持离线,并且人类在设备上验证后签名。实践中,这是在享受自动化优势的同时,保持自托管和最小化“代理即托管者”风险的最清晰方式之一。
如果你正在尝试链上自动化,可以考虑采用一种工作流程,其中代理生成交易意图,你的堆栈运行模拟 + 策略检查,而 OneKey 执行最终签名。
结论:SaaS 未死——它被迫成长
“AI 代理杀死 SaaS”是一个引人注目的口号,但加密货币让其中的缺陷显而易见:
- 代理增加了执行量,因此基础设施需求增加
- 密钥和签名创造了自动化无法回避的硬安全边界
- 获胜的产品将是那些将工作流转化为可验证、受策略控制的原语的产品
在 2026 年,问题不在于加密货币 SaaS 是否会生存。问题在于,你的堆栈是否准备好迎接一个软件不仅仅服务于人类——而是服务于持有真实资金的自主运营商的世界。
