BlockBeats x 知乎 Web 4.0 沙龙:当 AI 代理接管链上权限
BlockBeats x 知乎 Web 4.0 沙龙:当 AI 代理接管链上权限
关于Web 4.0的大多数对话都以错误的方式开始。
人们询问 Web 4.0 是否是“下一个营销周期”,或者它仅仅是另一个叙事。这些问题忽略了对于加密领域来说唯一重要的问题:
互联网的底层权限层正在从何处转移到何处?
如果我们将其绘制在时间轴上,方向一直是一致的:
- Web 1.0 是只读的:用户消费信息,但几乎没有写入权限。
- Web 2.0 引入了写入权限:你可以发帖、上传、评论和协作,但平台在很大程度上控制着身份、分发和数据。
- Web 3.0 转移了权限的所有权:通过自主托管,用户可以持有私钥并直接授权在开放网络上的操作。
- Web 4.0 关注的是机器速度下的委托权限:AI 代理将越来越多地代表你执行链上操作,持续、情境化地,并跨越多个协议。
这不仅仅是一次 UI 升级。这是对链上账户默认“操作员”的一次改变。
核心转变:从“你签名”到“你委托”
在 Web 3.0 中,权力的原子单位是私钥:谁能签名,谁就能行动。
在 Web 4.0 中,原子单位变成了受策略约束的委托:
- 你定义目标、限制和预算。
- AI 代理发现路径、比较结果并执行操作。
- 区块链强制执行代理被允许做什么,而不是想要做什么。
这就是为什么链上权限成为了争夺的战场。代理不会仅仅“推荐”交易或“总结”市场;它们将持有委托的权限来重新平衡头寸、认领奖励、展期债务、桥接流动性以及轮换策略。
问题不在于代理是否会与 DeFi 互动。问题在于它们的权限是:
- 范围过大(一次批准耗尽一切),还是
- 可组合地约束(代理可以行动,但仅限于硬性限制内)。
为什么加密领域是 Web 4.0 首先实现的地方
传统金融已经有委托(经纪人、授权、全权账户),但执行是机构化的且缓慢的。
区块链不同:委托可以可编程、可审计且自动执行。
三个加密原语使 Web 4.0 成为可能:
1) 智能账户和账户抽象
智能合约钱包允许你直接在账户中编码规则:支出限制、角色分离、恢复逻辑和多步审批。围绕账户抽象的标准和生态系统使其对主流用户和应用程序更加实用。有关背景,请参阅以太坊标准网站上的EIP 4337:通过入口点合约规范进行账户抽象。
2) 基于意图的执行
用户(或代理)不再是签署特定交易,而是可以表达一个意图(例如:“交换以达到此目标分配,最高滑点为 X”),然后由求解器竞相完成。这与代理的思考方式天然契合,因为代理以目标而非交易数据(calldata)进行思考。以太坊的教育中心提供了一个有用的概念概述:以太坊与账户抽象。
3) 权限代币:批准、许可和委托支出
DeFi 已经基于委托权限运行:代币批准、操作员角色和基于签名的权限。Web 4.0 的区别在于数量和频率:代理将更频繁地请求更多权限,攻击者也将积极地针对这些权限表面。有关现代 DeFi 权限工具的具体示例,请参阅 Uniswap 关于Permit2的文档。
新的威胁模型:“代理 rug pull”是权限 bug,而非 AI bug
当用户担心 AI 代理“失控”时,他们常常想象模型本身变得恶意。
实际上,大多数失败将看起来像经典的安全事件——只是速度更快:
- 批准范围过广:代理获得无限的代币支出权限,而单个被破坏的依赖项就会耗尽资金。
- 提示注入和工具劫持:攻击者操纵代理的输入,使其调用错误的合约或签署错误的消息。
- 恶意路由:代理选择对对手方(或求解者)有利但对用户有害的路线。
- 密钥泄露:代理托管的机器泄露了密钥或会话密钥。
- 静默权限漂移:小的“临时”权限累积,直到实际权限几乎达到全部。
因此,解决方案不是“更信任 AI”。解决方案是:让权限小于信任。
实用的 Web 4.0 清单:代理权限栈
如果 AI 代理要在链上执行,你需要一个分层的栈,将“信任根”置于不易触及的地方。
层 1:根托管(人类控制)
- 将长期密钥离线并基于确认。
- 使用硬件钱包作为高风险操作(新委托人、大额转账、合约升级)的根签名器。
层 2:委托(代理控制,但受限)
不要将代理直接交给你的主密钥,而是委托狭窄的权限:
- 带有有效期的会话密钥
- 允许列表(特定的合约、特定的代币对)
- 支出限制(每小时、每天、每种策略)
- 敏感更改的时间锁(例如提高限制)
- 角色分离:一个密钥提出,另一个密钥执行
层 3:执行安全(在链之前)
- 交易模拟和可读的风险摘要
- 滑点上限和 MEV 感知路由限制
- 一个紧急“紧急停止开关”,用于快速撤销委托人
层 4:审计性(在链之后)
- 持续监控批准和委托人
- 定期修剪权限
- 交易后验证是否符合策略
对用户而言,最简单且立即见效的习惯是权限卫生:定期审查和撤销不再为你服务的批准。一个广泛使用的公共工具是 Revoke.cash,它可以帮助你检查和删除代币的使用许可。
“Web 4.0 身份”的真正含义:账户变成团队
在 Web 2.0 中,“身份”是一个登录。
在 Web 3.0 中,身份是一个账户。
在 Web 4.0 中,你的账户将变成一个团队:
- 你(根权限)
- 一个或多个 AI 代理(委托操作员)
- 自动化(定时器、守护者、再平衡器)
- 协议角色(金库管理员、策略合约)
这虽然强大——因为它扩展了你的链上操作——但它也意味着你的安全模型必须从:
“保护我的私钥”
演变为:
“持续管理权限图谱”
这是许多用户在 2025 年及以后需要进行的思维转变:最大的风险将不再来自单一丢失的密钥,而是来自跨链、跨应用和跨代理的权限蔓延。
2025 年的发展方向:从钱包到策略引擎
2025 年,用户需求将趋向于一些不可妥协的要素:
- 更少的盲签名,更多的人类可读的意图和模拟
- 更安全的委托(有界、有时限、可撤销)
- 跨链抽象的体验,同时不失自主托管的保证
- 注重隐私的代理,默认情况下不泄露投资组合和行为数据
钱包体验将越来越像一个策略引擎:不仅仅是“发送”和“交换”,而是“谁可以做什么,多久,在何种限制下”。
这对 OneKey 用户(以及任何自主托管者)为什么重要
如果 Web 4.0 是关于 AI 代理持有委托的权力,那么最重要的设计原则是:
将不可逆决定的根密钥置于直接人类控制之下。
这就是硬件钱包设置如何清晰地映射到 Web 4.0 权限栈:
- 使用硬件钱包作为添加或轮换代理委托的根权限
- 让代理以范围受限的会话权限运行,而不是永久的完全访问
- 在可信的签名设备上确认高影响力更改(提高限制、新的合约允许列表、大额转账)
OneKey 在此背景下的定位很简单:硬件钱包不是“反 AI 代理”;它是你在不将委托变成投降的情况下,使 AI 代理可用的方式。
结束语:Web 4.0 是一场权限迁移
Web 4.0 不是一个口号。它是一场操作权力的迁移:
- 从平台到用户(Web 3.0),
- 然后从用户到他们委托的软件(Web 4.0)。
赢家将不会是声音最响亮的叙述者。他们将是那些构建最佳权限最小化、委托标准和故障安全恢复的团队——以便 AI 代理能够大规模行动,而不会将自主托管变成自我造成的风险。
如果你能记住本次活动主题中的一句话,那就让它是这句:
在 Web 4.0 中,安全不再是关于一把密钥;而是关于你为每一项委托操作设定的界限。
