人には人それぞれの役割がある:Agentic Walletとウォレットの次の10年
TechFlow厳選深潮セレクト
人には人それぞれの役割がある:Agentic Walletとウォレットの次の10年
1984年、アップルはマウス1つでコマンドラインを葬り去った。2026年、エージェント(Agent)が今まさにマウスを葬ろうとしている。
Web3業界の深掘り報道に専念し潮流を洞察執筆:Lacie Zhang(ビットゲット・ウォレット研究員)
1984年、アップル(Macintosh)はマウス1つでコマンドラインを「殺した」。2026年、今度はAgentがマウスを「殺そうとしている」。
これは比喩ではない。Google、アマゾン、NVIDIA、Visa、マイクロソフト、アリババ——数十億ドルをかけてGUI(グラフィカル・ユーザー・インターフェース)を磨き上げてきた企業群が、今や自らGUIを迂回し、CLI(コマンドライン・インターフェース)、API、そしてAgentネイティブなインターフェースへと舵を切っている。その論理は単純だ。「0から1」への成長は人間に依存するが、次の10倍規模のユーザー層は、もはや画面を見ない。
しかし誰もが避けている問いがある。「ソフトウェアのユーザーが人間からAgentへと移行したとき、人間はまだそこに必要なのか?」
すでに1950年、制御工学の創始者ノーバート・ウィーナー(Norbert Wiener)は警告していた。「人間が観測・介入能力を失えば、フィードバックループは断絶し、システムは暴走する」と。今日、OpenAIが強調する「Harness Engineering」という概念も、本質的にはこの思想の延長線上にある。
70年以上を経て、Agentic Wallet(エージェント型ウォレット)が直面しているのは、この問題の暗号資産版である。確認ポップアップ、署名要求、承認フロー、助記詞のバックアップ、多重検証……暗号資産ウォレットは10年にわたり構築してきたセキュリティ機構すべてが、ひとつの問いに応えようとしてきた。「この操作は、本当にあなた自身による承認なのですか?」しかしAgentの登場により、この人間中心のインタラクション機構は機能不全に陥り始めている。個別取引ごとの手動承認を継続すれば、Agentは連続的・リアルタイム・自動的な実行を達成できない。一方で、無制限の秘密鍵支配権をAgentに直接付与すれば、人間は許容できないリスクを負うことになる。
答えは両極端のいずれにもない。完全自律はAgent時代において最も魅力的な物語ではあるが、ウィーナーの警告は依然として有効である。我々が提唱するのは、Agentic Walletが二種類の主体——人間とAgent——の双方にサービスを提供することである。すなわち、人間に対してはルール設定・リスク管理・ガバナンスによる介入能力を提供し、Agentに対しては明確な境界内で制約付きの実行権限を付与することで、指定された範囲内でのみチェーン上操作を自主的に完了できるようにする。言い換えれば、ウォレットは従来の人間向け資産容器および署名ツールから、人間が境界を設定し、Agentがその境界内で行動するための権限・実行システムへと進化しなければならない。
では、そのようなシステムはどのような姿をしているべきか? まさに本文が回答しようとする問いである。
一、Fat Wallet以外の、もう一つのウォレット戦争
Delphi Digitalは Fat Wallet Thesisにおいて、次のような鋭い洞察を提示した。「プロトコル層およびアプリケーション層がますます均質化する中で、価値はウォレット層へと集積していく。なぜならウォレットはユーザーに最も近く、流通チャネルとオーダーフローを掌握しており、またユーザーは慣れ親しんだUI、蓄積された資産、および移行コストといった要因から、長期的に特定のウォレットに留まる傾向があるからだ。」
しかしAgentは、このロジックには従わない。Agentは「無情な」機械的実行者であり、人間のようにUIの使いやすさやブランド志向、あるいは習慣によって特定のウォレットに留まることはない。むしろ、コストが最低・レイテンシが最小・実行が最も安定するインフラストラクチャの組み合わせを、常に探求し続ける。ERC-8004などの標準が徐々に普及すれば、Agentのアイデンティティおよび評判層も異なるシステム間で移転可能となるだろう。つまり、ウォレットがAgentに対して持つロックイン効果は、人間に対するそれよりも本質的に弱い。
とはいえ、これによりウォレットの価値が消失するわけではない。価値が沈殿する場所が変化するだけである。単純な個人利用シーンでは、Agentが既存のウォレットがUI・習慣・入口に依拠して築いたモアット(護城河)を弱めることになる。しかし、比較的複雑な組織的展開シーンでは、企業が「Agent艦隊」全体を対象にポリシー規則・承認フロー・リスク管理パラメータ・監査体制を整備すると、移行コストはフロントエンド体験ではなく、権限・ガバナンス・運用設定全体の再構築に起因するようになる。
ゆえに、Agentic WalletはFat Walletとは別の命題に答えるものである。Fat Walletはユーザーの入り口を巡る争いだが、Agentic Walletはソフトウェアが資金を直接支配し始める瞬間における「コントロール権」を巡る争いである。
ウォレットの進化史を振り返ると、製品形態の変化は、本質的にユーザーが信頼する対象の変化に対応していることがわかる:
- 助記詞ウォレットでは、ユーザーは自分自身を信頼する必要がある。
- スマートコントラクトウォレットでは、ユーザーはコードを信頼する必要がある。
- 埋め込み型ウォレットでは、ユーザーはサービス提供者を信頼する必要がある。
- そしてAgentic Walletでは、ユーザーが信頼すべきは、権限・ポリシー・ガバナンスメカニズムが共同で構成する制御システムである。
このシステムの目的は、ソフトウェアに資金を委ねることではない。むしろ、限定的な権限のもとでソフトウェアが行動することを可能にしつつ、人間が最終的なコントロール権を常に保持することにある。したがって、Agentic Walletの核は単に「Agentがウォレットを使えるようにすること」ではなく、「人間ユーザーに帰属する資金を、制約可能・監査可能・介入可能な条件下でAgentが管理できるようにすること」なのである。
二、ウォレットの境界、Agentの出発点
現行のウォレットは、本来設計された用途においては依然として十分に機能している。しかし問題は、Agent主導のユースケースが増加するにつれ、それらが現行ウォレットの設計境界を越えつつあることにある。
シナリオ1:取引Agentは迅速な行動を必要とするが、「実行可能であること」と「実行が許可されていること」は等しくない
ポートフォリオ管理Agentは、24時間365日、クロスチェーンの流動性を監視している。機会が訪れた際には、秒単位で取引を完了させる必要がある。従来のウォレットの制御ロジックは「アプリを開く→取引内容を確認→承認ボタンをクリック」である。この一連のフローを経てば、機会の窓はすでに閉じていることが多い。
技術的には、Agentはswap関数を呼び出し、calldataを生成し、資金をブリッジする能力を既に備えている。問題は、「能力=権限」ではない点にある。Agentが取引を発行できることと、それが資金を自由に支配してよいことを意味するわけではない。
Agentic Walletの役割は、まさにこの二者を分離することにある。Agentは即時に行動できるが、あくまで事前に設定されたルールの範囲内に限られる。たとえば、承認済み資産のみ、日次予算制限内、スリッページの上限内などであり、市場状況が異常になった場合は自動的に停止する。Skill(スキル)はAgentが「何ができるか」を定義し、ウォレットはAgentが「何を許可されているか」を制約する。
シナリオ2:支払いAgentは資金を使う必要があるが、全額の資金支配権を持つべきではない
支払いAgentは、API課金、SaaSサブスクリプション料、サプライヤーへの支払いなどを自動決済する。現在のウォレット体系では、通常、このAgentには2つの選択肢しかない:1)すべての支払いごとに人間による承認を待つ、または2)無制限の署名権を持つ秘密鍵をそのまま渡す。前者はスケールしないし、後者はリスクが高すぎる。
Agentic Walletが提供するのは、制限付きの権限付与である。すなわち、ホワイトリスト上の取引先のみへの支払い、指定資産のみの使用、日次予算内の実行、そしてすべての支出が完全に記録される、といった条件付きの実行が可能になる。
シナリオ3:複数のAgentが共有予算の下で相互に分離された権限を持つ必要がある
ひとつの主体が同時に複数のAgentを運用する場合がある:取引を担当するAgent、支払いを担当するAgent、審査を担当するAgentなど。現在のウォレットでは確かに複数のサブアカウントを作成できるが、これらのアカウントに対する統合的な権限編成、グローバルな予算上限の設定、Agent間のポリシー制約の適用、そして統一された監査ログの生成——これらは、現行ウォレットのネイティブ機能ではない。
一方、Agentic Walletモデルでは、こうした課題が優先的に設計課題として扱われる:各Agentは、それぞれ独立かつ明確な範囲の権限を持つ。さらに、統一されたポリシーレイヤーが、全体的なリスク曝露の制御、Agent間の頻度制限、共有予算の管理、および一貫した監査記録の生成を担う。
これらのシナリオはすべて同じ結論を導く:秘密鍵の管理は依然としてウォレットのセキュリティ基盤であり、Agentが秘密鍵に直接アクセスすることは、いかなる状況でも許容できないリスク源である。しかし、秘密鍵の管理だけで十分ではなくなった。操作者が人間からAgentへと変わったとき、ウォレットは第二の問いにも応える必要がある。「誰が、どのような条件下で、どの程度の額を、どの資産について、どの対象に対して行動することを許可されるのか?」秘密鍵管理は第一の防衛線であるが、非人間的操作者に対する権限境界の管理こそが、Agent時代に新たに追加された第二のファイアウォールである。
三、「境界付き自律」:Agentic Walletの設計哲学
業界におけるAgentic Walletの検討はまだ初期段階であり、真正に成熟したAgentic Walletのソリューションは存在しない。ただし、冒頭で述べた通り、本文が想定するAgentic Walletとは、人間のガバナンスとAgentの実行をつなぐ資金制御システムである。すなわち、人間が境界を設定し、Agentがその境界内で行動し、ウォレットがこの制約関係が常に実行可能・監査可能・介入可能であることを保証するものである。
また、Agentが付与される権限の程度に応じて、Agentic Walletは以下の4つのケースに対応可能である:
- 人間制御型: Agentは提案・補助を提供するが、すべての操作は引き続き人間による承認が必要。これはインタラクション効率の改善に寄与するが、資金の制御ロジック自体は変化しない。
- 混合型: Agentは検索・見積もり・通知・低リスク実行などの日常的なタスクを処理し、人間の介入頻度は低下するが、資金移転・コントラクト呼び出し・異常ブランチへの遷移など、境界事例については依然として人間の承認が必要である。
- 境界付き自律型: Agentは明確なルール・限度額・否決パスの下で自律的に行動する。人間は個別取引ごとの承認者から、ルール策定者へと役割を変える。本文で議論するAgentic Walletは、主にこのタイプを指す。
- 完全自律型: Agentはほぼ完全な経済主権を持ち、事前の境界設定なしに資金を独立して配分・運用し、その結果を自ら負う。このモデルは理論的には成立するが、セキュリティ・ガバナンス・責任帰属・コンプライアンスの観点から、現時点では未熟であり、実験段階にとどまっている。
参考として、Stripeは2025年の年次レターにおいて、agentic commerce(エージェント型コマース)を5段階に分類している:L1はフォーム入力の自動化(Eliminating web forms)、L2は説明的検索(Descriptive search)、L3は継続的記憶(Persistence)、L4は権限委譲(Delegation)、L5は予測的購入(Anticipation)。そして、業界全体が「依然としてL1とL2の境界線上を彷徨っている」と明言している。
この観点から見れば、現時点での最大の市場需要は、人間制御型および混合型のユースケースにあり、一方で境界付き自律こそが真に最先端であり、Agentが資金管理を本格的に開始する最初のプロダクションレベルの形態である。
この構想を実現するには、4層のアーキテクチャが必要である:
- アカウント層: 各Agentに対して独立・隔離された経済的コンテナ(EOA、スマートコントラクトアカウント、サーバーウォレット、TEE環境など)を構築。システムは各Agentに対して差別化されたルールを適用できる必要がある。
- 権限層: Agentの行動境界を定義する層。たとえば、支配可能額・操作可能資産・インタラクト可能なコントラクト・実行可能な時間帯・境界を超えた際のアクションロジックなど。これがアーキテクチャの核心である。
- 実行層: 人間のクリックではなく、Agent向けのインターフェースを前提として設計。送金・支払い・Swap・ブリッジ・リバランス・清算・決済などは、すべてプログラムから直接呼び出せるプリミティブとして抽象化される必要がある。
- ガバナンス層: ログ出力・シミュレーション・監査トレース・アラート・一時停止スイッチ・人間による否決権・復旧メカニズムなどを提供。この層が、Agentic Walletを実際にプロダクション環境へ投入可能にするかどうかを決定づける。
この4層アーキテクチャの上に、システムの稼働を支える4つのコア機能が必要となる:
- Skills(スキル): 標準化されたチェーン上操作モジュールを提供。Agentは、関数呼び出しのように取引・支払い・ブリッジなどの動作を実行でき、自ら低レベルのcalldataを組み立てる必要がない。Skillは「何ができるか」という能力の抽象化を解決する。
- Policies+KYA/KYT: Policiesエンジンは、すべての操作に対してルール検証を行い、人間が設定した境界を機械が実行可能な制約条件へと変換する。一方、KYA/KYTメカニズムは、Agentの出所・アイデンティティ・リスク文脈・実行履歴を識別する。前者が行動を制約し、後者が実行者を識別し、両者が協働して、すべての資金操作が事前定義された境界内に留まることを保証する。
- Session Key(セッションキー): 期間限定・金額限定・範囲限定の安全な委任メカニズムを提供。Agentは完全な秘密鍵ではなく、一時的かつ限定的な権限を得る。期限が切れれば自動的に無効化され、手動での取り消しは不要。「Agentが完全な鍵に触れることなく実行資格を得る」ことが可能になる。
- 監査と通知: 全過程を追跡可能な操作ログとリアルタイムの警告システムを提供。すべての操作は遡及可能であり、すべての異常はアラートで知らせられ、すべてのAgentは随時一時停止可能である。
現在、私たちは通常、命令によってAgentの行動ロジックを制御しているが、タスクのオーケストレーションは資金制約とは等しくない。Agentは誤判断・逸脱・攻撃・悪意ある入力汚染を受ける可能性がある。ウォレット層の意義は、まさに「資金を動かせるか」「どれだけ動かせるか」「どの資産を操作できるか」「どの対象とインタラクトできるか」「異常時にどのように停止するか」といった資金権限に関する問いを、事前にシステムのルールとして固定化することにある。たとえAgentに偏差が生じても、実際に起こり得る資金操作はあくまで事前設定された境界内に厳密に制限される。
四、Agentic Walletの現状:4つのアプローチと4つのギャップ
現行のAgentic Walletソリューションを調査したところ、4つの代表的な事例に注目できた。これらはすでに「Agentを資金システムへどう導入するか」という問いに一定の答えを出しているが、「Agentがクロスチェーンおよび複雑な現実環境において、安全に資金を使用するにはどうすべきか」という問いには、まだ答えていない。
Coinbase、Safe、Privy、Polygonは、それぞれインフラストラクチャ・ガバナンス・権限・アイデンティティの観点から、実用的な解答を提示しているが、これらの局所的な機能をさらに統合し、クロスチェーンで動作し、異なる実行環境間で移転可能で、複雑な対抗的状況においても堅牢に機能する統一制御システムを構築する作業は、まだ完了していない。現時点におけるAgentic Walletの共通のボトルネックは、主に以下の4つのギャップに集中している:
第一に、アイデンティティと評判の移植性が確保されていない。
チェーン上のAgentのアイデンティティおよび評判システムは構築可能だが、クロスチェーン・クロスウォレット・クロス実行環境で汎用可能な信用体系は存在しない。あるエコシステムでAgentが蓄積した履歴や評判は、他のエコシステムへ自然に移転できない。
第二に、ポリシーレイヤーに統一標準が欠如している。
Coinbaseはspending limits(支出制限)を採用し、Safeはオンチェーンモジュールを用い、Privyはpolicy engine(ポリシー・エンジン)を活用し、Polygonはsession-scoped wallet(セッション範囲のウォレット)を採用している。業界はすでに権限層が核心であることに広く気付いているが、移植可能・組み合わせ可能・製品横断で再利用可能な統一ポリシー標準は、いまだ形成されていない。
第三に、対抗的安全性が極めて未整備である。
Prompt注入、ツール毒化、悪意あるSkill、汚染された外部入力——こうした問題は、従来のコントラクト監査によって自動的に解決されることはない。Agent時代に新たに生じる課題は、「モデルの意思決定プロセスが悪意ある入力によって歪められた場合、ウォレットがそれを如何に検知・介入・遮断するか」である。
第四に、全チェーン対応はまだ遠い。
現行ソリューションの多くは単一チェーンまたは限定的なマルチチェーン範囲に依存しており、Agentの経済活動は長期的に単一エコシステム内に留まらない。真正に成熟したAgentic Walletは、マルチチェーン・マルチ実行環境・およびドメイン横断的な権限整合性の問題に直面しなければならない。
五、水面の下:Agentic Walletの次の10年
現時点では、Agentic Walletの設計重点は、人間がAgentに対して細やかな制御を行使できるようにすることにある。多くの実装において、ウォレットの役割は受動的な署名器に近い:AgentがSkillを呼び出し、Skillがトランザクションを生成し、ウォレットがバックエンドで署名を行い、その後チェーン上で実行される。
しかし、もしAgentが真に資金管理を開始するならば、最終段階での署名だけでは明らかに不十分である。より合理的なアプローチは、実行の前に権限判断を行うことである:AgentがSkillを呼び出した後、まずウォレット内部のPolicy Plane(ポリシープレーン)へとリクエストを送り、ポリシー検証を通過した場合のみ実行が許可される。
この「Wallet Policy Plane(ウォレット・ポリシープレーン)」という概念は、システムアーキテクチャにおけるControl Plane(制御プレーン)とData Plane(データプレーン)の考え方を借用したものである。それは、Agentの行動とチェーン上実行の中間に位置し、Policiesエンジン・KYT/KYA検証・Session Key検証・リスクスコアリング・異常処理を統合した単一の意思決定面である。
この考え方は目新しいものではない。Stripeの支払いアーキテクチャも同様のロジックを採用している:開発者はシンプルなAPIを呼び出すが、資金が実際に移動する前に、Stripeはバックグラウンドでリスク識別・ルールチェック・コンプライアンス処理を完了させている。Agentic Walletが行おうとしていることは本質的に同じであり、上位レイヤーでは開発者にクリーンな実行インターフェースを提供し、下位レイヤーでは事前ポリシー・エンジンによって権限の裁決を行う。
緊急性は、Prompt注入・ツール毒化・悪意あるSkillによって攻撃表面が急速に拡大している点にある。一方で、ウォレット側のセキュリティ基盤はこれにまったく追いついていない。標準化されたWallet Policy Planeは、現時点で業界共通の基礎原語となっていない。
ただし、Policy Plane自体が最終形態でもない。Agentのアイデンティティおよび評判システムが徐々に成熟するにつれ、権限付与のロジックは静的なルール駆動から、動的な信頼駆動へと移行していくだろう。今日では、事前定義された境界・金額制限・ホワイトリスト・人間による否決パスに依拠しているが、将来的には、チェーン上の取引記録・行動履歴・クロスエコシステムの信用データが、検証可能なAgent信用基盤を構成し、より多くの権限付与判断が、アイデンティティ・過去の実績・実際のパフォーマンスに基づいて行われるようになる。
Agent同士が機械的スピードで経済的インタラクションを開始するとき、制御メカニズムはシステム構築の初期段階から内包されていなければならない。ウォレットの役割もまた、それに応じて変化するだろう。初期段階では、それは越境行為を阻止する「門番」であるが、成熟期には、信頼された主体がアカウント・権限・決済システムへと、より低い摩擦で継続的に接続できるように支援する「インフラストラクチャ」へと変貌する。
過去10年間、ウォレットの戦場は画面の上にある「入り口」であった。次の10年間、戦場はユーザーが見えない「制御層」にある。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
@BitgetWallet
