人有人的用處：Agentic Wallet 與錢包的下一個十年

撰文：Lacie Zhang，Bitget Wallet 研究員

1984 年，蘋果（Macintosh）用一個鼠標殺死了命令行。2026 年，Agent 正在殺死鼠標。

這不是比喻。Google、亞馬遜、英偉達、Visa、微軟、阿里這些花了數十億美元打磨圖形界面的公司，正在主動繞開 GUI，轉向 CLI、API 和 Agent 原生接口。邏輯很簡單：從 0-1 的增長靠人，但下一個十倍用戶群，不再看屏幕。

但所有人都在迴避的是：當軟件的用戶從人變成 Agent，人還需要在場嗎？

早在 1950 年，控制論創始人維納（Norbert Wiener）就給出過警告：一旦人類失去了觀測和干預的能力，反饋迴路就會斷裂，系統就會失控。今天 OpenAI 所強調的「Harness Engineering」，本質上也是這一思想的延續。

七十多年後，Agentic Wallet 面對的是這個問題的加密版本。確認彈窗、簽名請求、審批流程、助記詞備份、多重驗證...加密錢包花了十年時間搭建的安全機制，都在回答一個問題：「這筆操作，真的是你本人授權嗎？」Agent 讓這套人類交互機制開始失效：繼續要求逐筆人工確認，Agent 無法實現連續、實時、自動化的執行；直接把無邊界的私鑰控制權交給 Agent，人類會承擔不可接受的風險。

答案不在兩個極端。完全自主是 Agent 時代最性感的敘事，但維納的警告依然成立。我們認為，Agentic Wallet 必須同時服務兩類主體：一方面為人類提供規則設定、風險控制與治理干預能力；另一方面為 Agent 提供受約束的執行權限，使其能夠在明確邊界內自主完成鏈上操作。換言之，錢包需要從人類使用的資產容器與簽名工具，演變成一套讓人設定邊界、讓 Agent 在邊界內行動的權限與執行系統。

這套系統應該長什麼樣？這正是本文要回答的問題。

一、Fat Wallet 之外，另一場錢包戰爭

Delphi Digital 在 Fat Wallet Thesis 一文中曾提出一個有力的判斷：隨著協議與應用層日益同質化，價值將沉澱到錢包層，因為錢包最接近用戶，掌握著分發渠道與訂單流，而用戶也會因為熟悉的界面、沉澱的資產和遷移摩擦，長期停留在某個錢包中。

但 Agent 並不遵循同樣的邏輯。作為“無情”的機器執行者，Agent 不會像人類一樣因為界面熟悉、品牌偏好或使用習慣而停留在某個錢包裡，會持續尋找成本最低、延遲最小、執行最穩的基礎設施組合。隨著 ERC-8004 等標準逐步普及，Agent 的身份與信譽層也有望在不同系統之間遷移，這意味著錢包對 Agent 的鎖定效應，天然弱於對人的鎖定效應。

不過這並不意味著錢包的價值消失，而是價值沉澱的位置會發生變化。在簡單的個人使用場景中，Agent 會削弱錢包原有基於界面、習慣與入口形成的護城河；而在相對複雜的組織化部署場景中，一旦企業圍繞整支“Agent 艦隊”配置了策略規則、審批流程、風控參數與審計體系，遷移成本就不再來自前端體驗，而來自整套權限、治理與運維配置的重建。

因此，Agentic Wallet 回答的是 Fat Wallet 之外的另一個命題：Fat Wallet 爭奪的是用戶入口，Agentic Wallet 爭奪的則是軟件開始直接支配資金時的控制權。

如果回顧錢包演進的歷程，會發現每一次產品形態變化，本質上都對應著用戶信任對象的變化：

• 助記詞錢包，要求用戶信任自己。
• 智能合約錢包，要求用戶信任代碼。
• 嵌入式錢包，要求用戶信任服務提供方。
• 而到了 Agentic Wallet，用戶需要信任的，是一套由權限、策略與治理機制共同構成的控制系統。

這套系統的目標，並不是讓軟件接管資金，而是讓軟件在有限授權下行動，同時讓人類始終保留最終控制權。也正因此，Agentic Wallet 的核心不只是“讓 Agent 能用錢包”，而是“讓 Agent 在可約束、可審計、可干預的條件下管理歸屬於人類用戶的資金”。

二、錢包的邊界，Agent 的起點

現有錢包在自己原本被設計的場景裡仍然運作良好，但問題在於，越來越多由 Agent 驅動的用例，正在超出現有錢包的設計邊界。

場景1：交易 Agent 需要快速行動，但“有能力執行”不等於“被允許執行”

一個投資組合 Agent 全天候監控跨鏈流動性。當機會出現時，它需要在秒級以內完成交易。傳統錢包的控制邏輯是用戶打開應用 - 檢查交易 - 點擊確認。等這一套流程走完，機會窗口往往已經關閉。

從技術上看，Agent 已經具備調用 swap 函數、生成 calldata、橋接資金的能力，問題在於，能力不等於權限。一個 Agent 能發起交易，並不意味著它就應該被允許自由支配資金。

Agentic Wallet 的作用，正是將兩者分開：Agent 可以即時行動，但只能在預設規則內行動，例如僅限已批准資產、受日預算限制、受滑點邊界約束，並在市場條件異常時自動暫停。Skill 定義的是 Agent“能做什麼”，而錢包負責約束的是 Agent“被允許做什麼”。

場景2：支付 Agent 需要花錢，但不應擁有全部資金控制權

一個支付 Agent 負責自動結算 API 賬單、SaaS 訂閱費用和供應商付款。在當前錢包體系裡，它通常只有兩種選擇：要麼每一筆付款都等待人工審批，要麼直接持有一個擁有無限簽名權的私鑰。前者無法擴展，後者風險過高。

Agentic Wallet 提供的是一種受限授權：它可以只向白名單商戶付款，只能使用指定資產，只能在每日預算之內執行支付，並且所有支出都被完整記錄。

場景3：多個 Agent 需要在共享預算下擁有彼此隔離的權限

一個主體可能同時運行多個 Agent：一個負責交易，一個負責支付，一個負責審閱。當前錢包當然可以創建多個子賬戶，但對這些賬戶進行統一的權限編排、設置全局預算上限、執行跨 Agent 的策略約束，並形成統一審計鏈路，並不是現有錢包的原生能力。

而在 Agentic Wallet 模型下，這會被當作優先設計問題來處理：每個 Agent 擁有各自獨立、範圍明確的權限；與此同時，統一的策略層負責控制總體風險暴露、跨 Agent 的頻率限制與共享預算，並生成一致的審計記錄。

這些場景指向同一個結論：私鑰管理仍然是錢包安全的底座，讓 Agent 直接接觸私鑰，在任何場景下都是不可接受的風險源。但僅僅管好私鑰已經不夠。當操作者從人變為 Agent，錢包還必須回答第二個問題：誰被允許在什麼條件下、以什麼額度、對哪些資產、向哪些對象行動。私鑰管理是第一道防線，非人類操作者的權限邊界管理，是 Agent 時代新增的第二道防火牆。

三、有界自主：Agentic Wallet 設計哲學

當前行業對 Agentic Wallet 仍處於早期探索階段，還沒有真正成熟的 Agentic Wallet 方案。不過如前言所述，本文認為的 Agentic Wallet 是一套連接人類治理與 Agent 執行的資金控制系統：人類負責設定邊界，Agent 負責邊界內行動，錢包負責確保這套約束關係始終可執行、可審計、可干預。

同時根據 Agent 獲得的授權程度，Agentic Wallet 可能也會分別服務以下 4 種情況：

• 人類控制型： Agent 提供建議與輔助，每個操作仍需人類確認。改善的是交互效率，資金控制邏輯並未發生變化。
• 混合型： Agent 處理常規操作，例如檢索、報價、提醒或低風險執行；人類介入頻率降低，但邊界情況仍需由人審批，例如觸及資金劃轉、合約調用或異常分支。
• 有界自主型： Agent 在明確規則、限額和否決路徑內自主行動。人類從逐筆審批者轉變為規則制定者。本文所討論的 Agentic Wallet，主要指向這一類。
• 完全自主型： Agent 擁有接近完整的經濟主權，可以在沒有預設邊界的情況下獨立調度資金並承擔結果。這種模式在理論上成立，但在安全、治理、責任歸屬與合規層面仍遠未成熟，目前基本停留在實驗階段。

作為參照，Stripe 在 2025 annual letter 中將 agentic commerce 劃分為五個等級：L1 為代填表單（Eliminating web forms），L2 為描述式搜索（Descriptive search），L3 為持續記憶（Persistence），L4 為授權委託（Delegation），L5 為預判式購買（Anticipation）；同時明確判斷，當前行業整體仍“徘徊在 L1 與 L2 的邊緣”。

從這個角度看，目前最大的市場需求可能來自人類控制型與混合型的場景，而有界自主是當前真正的前沿，也是 Agent 真正開始管理資金的第一個生產級形態。

實現這一構思需要四層架構：

• 賬戶層：為每個 Agent 建立獨立、隔離的經濟容器，如通過EOA、智能合約賬戶、服務器錢包或 TEE 環境。系統需要對不同 Agent 施加差異化規則。
• 權限層： 定義 Agent 的行為邊界，如可支配額度、可操作資產、可交互合約、可執行時間窗、觸邊後的動作邏輯。這是整個架構的核心層。
• 執行層：面向 Agent 接口而非人類點擊。發送、支付、Swap、橋接、再平衡、清算、結算，都需要被抽象為可被程序直接調用的原語。
• 治理層：需提供日誌、模擬、審計追蹤、告警、暫停開關、人類否決權、恢復機制等等。該層決定 Agentic Wallet 能否真正進入生產環境。

在四層架構之上，還需要四項核心能力支撐系統運轉：

• Skills：提供標準化的鏈上操作模塊。Agent 可以像調用函數一樣完成交易、支付、橋接等動作，而不必自行拼裝底層 calldata。Skill 解決的是“能做什麼”的能力抽象問題。
• Policies + KYA / KYT：Policies 引擎負責對每一次操作進行規則校驗，將人類設定的邊界轉化為機器可執行的約束條件；KYA / KYT 機制則用於識別 Agent 的來源、身份、風險上下文與運行歷史。前者約束行為，後者識別操作者，二者共同確保所有資金動作始終處於預設邊界之內。
• Session Key：提供限時、限額、限範圍的安全委託機制。Agent 獲得的是臨時且有限的授權，而非完整私鑰。授權到期自動失效，無需手動撤銷，“讓 Agent 在不接觸完整密鑰的前提下獲得執行資格”。
• 審計與通知：提供全程可追溯的操作日誌與實時預警系統。每一筆操作可回溯，每一次異常可告警，每一個 Agent 可隨時暫停。

當前，我們通常通過指令控制 Agent 的行為邏輯，但任務編排並不等於資金約束。Agent 仍可能誤判、偏離，或遭受攻擊與惡意輸入汙染。錢包層的意義正是在於將“能否動用資金、可動用多少資金、可操作哪些資產、可與哪些對象交互，以及異常情況下如何中止”等涉及資金權限的問題，預先固化為系統規則。即使 Agent 出現偏差，真正能夠發生的資金動作仍被限制在預設邊界之內。

四、Agentic Wallet 現狀：四條路徑與四個缺口

圍繞現有的 Agentic Wallet 方案，我們關注到 4 個典型案例，基本已經解決了「如何讓 Agent 進入資金系統」，但尚未回答「如何讓 Agent 在跨鏈與複雜的現實環境中安全地使用資金」。

Coinbase、Safe、Privy 與 Polygon 已經分別在基礎設施、治理、權限和身份層面給出了各自可行的答案，尚未完成的是把這些局部能力進一步整合為一套可以跨鏈運行、跨環境遷移、在複雜對抗場景下仍然成立的統一控制體系。現階段 Agentic Wallet 的共性瓶頸，主要集中在以下四個缺口：

第一，身份與信譽尚不可移植。

鏈上 Agent 身份與信譽系統可以建立，但跨鏈、跨錢包、跨運行環境通用的信用體系仍然不存在。一個 Agent 在某個生態中積累的歷史與信譽，無法自然遷移到另一個生態。

第二，策略層缺少統一標準。

Coinbase 使用 spending limits，Safe 使用鏈上模塊，Privy 使用 policy engine，Polygon 使用 session-scoped wallet。行業已經普遍意識到權限層是核心，但尚未形成可移植、可組合、可跨產品複用的統一策略標準。

第三，對抗性安全仍高度空白。

Prompt 注入、工具投毒、惡意 Skill、被汙染的外部輸入，這些問題不會被傳統合約審計自動解決。Agent 時代真正新增的問題是：當模型的決策過程被惡意輸入扭曲時，錢包如何識別、介入並阻斷風險。

第四，全鏈覆蓋遠未實現。

現有方案大多依附於單一鏈或有限的多鏈範圍，但 Agent 的經濟活動不會長期停留在單一生態內。真正成熟的 Agentic Wallet，必須面對多鏈、多執行環境以及跨域權限一致性的問題。

五、水面之下：Agentic Wallet 下一個十年

當前，Agentic Wallet 的設計重點是賦能人類對 Agent 施加精細化控制。在大多數實現中，錢包的角色更接近一個被動的簽名器：Agent 調用 Skill，Skill 生成交易，錢包在後端完成簽名，鏈上執行隨之發生。

但如果 Agent 真正開始管理資金，僅僅在最後一步簽名顯然不夠。更合理的做法是讓權限判斷髮生在執行之前：Agent 調用 Skill 之後，請求先進入錢包內部的 Policy Plane，只有通過策略校驗，執行才會被放行。

所謂 Wallet Policy Plane，借用的是系統架構中 Control Plane 與 Data Plane 的思路。它位於 Agent 行為與鏈上執行之間，把 Policies 引擎、KYT/KYA 校驗、Session Key 驗證、風險評分和異常處理整合成一個統一的決策面。

這個思路並不陌生，Stripe 的支付架構就是類似的邏輯：開發者調用的是簡潔的 API，但在資金真正移動之前，Stripe 已經在後臺完成了風險識別、規則檢查與合規處理。Agentic Wallet 要做的事情本質相同，上層給開發者一個乾淨的執行接口，下層用前置策略引擎完成權限裁決。

緊迫性在於，Prompt 注入、工具投毒、惡意 Skill 帶來的攻擊面正在快速膨脹，而錢包側的安全基礎設施遠沒有跟上。標準化的 Wallet Policy Plane，在今天還沒有成為行業通用的基礎原語。

不過，Policy Plane 本身也不會是終態。隨著 Agent 身份與信譽體系逐步成熟，授權邏輯會從靜態規則驅動轉向動態信任驅動。今天靠的是預設邊界、額度限制、白名單和人工否決路徑；未來，鏈上交易記錄、行為軌跡和跨生態信用數據會逐漸構成可驗證的 Agent 信用基礎，更多的授權決策將基於身份、歷史和實際表現來做出。

當 Agent 與 Agent 之間開始以機器速度進行經濟交互時，控制機制就必須從系統建立之初就被內建進去。錢包的角色也會隨之改變：在早期，它是守門人，負責阻止越界行為；在成熟階段，它更接近基礎設施，負責讓可信主體以更低的摩擦持續連接賬戶、權限與結算系統。

過去十年，錢包的戰場是屏幕上那個入口。下一個十年，戰場在用戶看不見的那層控制。