Все заметки
День, когда ваш агент может тратить деньги

9 июня 2026 г.

День, когда ваш агент может тратить деньги

MetaMask только что дала ИИ-агентам кошелёк — позволив боту торговать по всему DeFi от вашего имени, быстрее, чем вы успеете кликнуть. Это настоящая веха, и она должна вас слегка напрячь, потому что всё шаткое в агентах перестаёт быть теорией в тот миг, когда один из них держит ключи. Неверный ответ можно исправить. Необратимый перевод незнакомцу — нельзя. Интересно не то, что агенты теперь могут тратить. А одна идея в дизайне, которая делает это переживаемым.

На этой неделе MetaMask запустила Agent Wallet: кошелёк для ИИ-агентов, позволяющий боту следить за рынками, генерировать сделки и исполнять их по всему DeFi — свопы, бессрочные контракты, рынки предсказаний — быстрее, чем человек за клавиатурой. Он живёт на десяти сетях, а общая доступность — этим летом. Агенты теперь могут держать деньги и тратить их от вашего имени.

Это настоящая веха, и я хочу отнестись к ней серьёзно в обе стороны: она полезна — и это момент, когда много махания руками про риск агентов становится конкретным. Потому что всё, что я писал про ненадёжность агентов, их избыточное доверие и сложность надзора, было до сих пор в основном про неверный ответ. Кошелёк меняет ставки. Неверный ответ можно поправить. Необратимый платёж незнакомцу — нельзя.

Крипта — худшее возможное место, чтобы ошибиться

Если бы вы хотели спроектировать среду с наивысшими ставками для ошибки автономного агента, вы построили бы нечто очень похожее на ончейн-финансы. Транзакции необратимы — нет чарджбэка, нет линии поддержки, нет «отменить». Контрагенты псевдонимны, так что украденные средства трудно отследить и ещё труднее вернуть. Это работает 24/7, без рабочих часов, чтобы хоть что-то притормозить. И это состязательно по умолчанию — глобальная толпа активно щупает всё, что можно слить.

Теперь поместите агента в эту среду с доступом к приватному ключу — и режимы провала, о которых я постоянно пишу, обретают долларовую цену. Проблема внедрения промпта — это уже не утёкшая строка, а перевод. Это уже случилось: в мае цепочка prompt-инъекции, по сообщениям, спрятала инструкции азбукой Морзе внутри поста в соцсети и заставила ИИ их декодировать, подтолкнув автоматический кошелёк двинуть средства. Как прямо сказал один разбор: если агент контролирует ключ с неограниченным доступом, одна prompt-инъекция, баг или вредоносный вызов инструмента могут слить средства. Возможность, которой все хотели, — это ещё и возможность, которую атакующий больше всего хочет, чтобы вы дали своему агенту.

Одна идея, которая делает это переживаемым

Вот почему запуск MetaMask стоит изучать, а не просто бояться: дизайн кодирует правильный ответ. Вся посылка кошелька в том, что агент может действовать автономно, но только внутри правил, которые задаёт пользователь. Каждая поддерживаемая транзакция проходит через обязательный конвейер безопасности, и всё, что помечено или выпадает за пределы политики — превышает дневной лимит трат, маршрутизируется в протокол, который вы не внесли в список разрешённых, — останавливается и требует человеческого одобрения, прежде чем исполниться.

Эта фраза — ограниченная автономия — и есть весь урок, и он обобщается далеко за пределы крипты. Выбор никогда не был «полностью автономный агент» против «никакого агента». Это «автономный внутри жёстких лимитов, которые вы задали заранее». Агент получает быть быстрым и независимым на мелком, обратимом, внутри-политики, и в тот миг, когда он тянется к крупному или необычному, стена его останавливает, и решает человек. Неограниченные ключи — это ошибка. Поводок заданной длины — это дизайн.

Что взять из этого, даже если вы никогда не тронете крипту

Большинство из вас не подключает агента к DeFi-кошельку. Но всё, что агент может сделать и что вы не можете отменить — отправить письмо, удалить записи, выкатить в продакшен, оформить возврат, разместить заказ, — это та же проблема в другой одежде. Шаблон, который выпустила MetaMask, — это шаблон для всего этого:

  • Ограничьте радиус поражения до выдачи возможности. Решите лимиты — суммы, разрешённые адресаты, потолки частоты — сначала, и сделайте их жёсткими ограничениями, которые агент не переспорит. Возможность без бюджета — заряженное оружие.
  • Заставьте необратимые действия останавливаться ради человека. Обратимое, мелкое, рутинное — пусть агент идёт. Необратимое или вне паттерна — пауза и ожидание «да». Правило «подтвердить до необратимого» — это граница между автоматизацией и историей, о которой вы пожалеете.
  • Считайте ввод враждебным. Агент, действующий в открытом интернете, будет мишенью — через инструменты, данные, промпты. Фильтруйте входящее и никогда не пускайте недоверенный ввод прямо в действие с последствиями.
  • Решите, кто отвечает, до потери, а не после. Когда агент двинул не те деньги, «это агент сделал» — не ответ. У политики и исхода есть названный человек-владелец.

Суть

Дать агентам кошельки — это точка, где история ИИ-агентов взрослеет, потому что это точка, где ошибка стоит денег, которые не вернёшь. MetaMask заслуживает похвалы за то, что не выпустила наивную версию — неограниченную автономию, полные ключи, — а построила скучную правильную вещь: агента, свободного действовать внутри забора, который контролируете вы, и вынужденного остановиться на его краю.

Так что когда почувствуете тягу дать агенту сделать нечто реальное и необратимое, одолжите паттерн. Не спрашивайте «может ли мой агент это сделать». Спросите «какой максимум урона он может нанести, прежде чем человек или жёсткое правило его остановят», — и спроектируйте это число вниз, до того, что вы переживёте в свой худший день. Агенты, которым доверят реальные деньги и реальные последствия, будут не самыми умными. Они будут на самом коротком поводке.

Комментарии

Пока нет комментариев

Войдите, чтобы участвовать в разговоре.

Будьте первым, кто оставит мысль.