你的智能体能花钱的那一天

这周 MetaMask 发布了一个 智能体钱包（Agent Wallet）： 一个为 AI 智能体打造的钱包，让机器人盯盘、生成交易，并在 DeFi 里执行这些交易——兑换、永续合约、预测市场——比一个人坐在键盘前快得多。它已经在十条链上线，全面开放会在今年夏天到来。智能体现在可以持有钱，并替你把它花出去。

这是一个货真价实的里程碑，我想从两个方向认真对待它：它有用，同时它也是很多含糊其辞的智能体风险变得具体的时刻。因为我写过的所有关于智能体不可靠、过度信任、难以监管的东西，到目前为止大多还只是关于拿到一个错误答案。钱包改变了赌注。错误答案你可以纠正，转给陌生人的不可逆付款你不能。

加密货币是出错代价最惨的地方

如果你想给一个自主智能体设计一个出错代价最高的环境，你造出来的东西会很像链上金融。交易是不可逆的——没有撤销扣款，没有客服热线，没有撤回。交易对手是化名的，所以被盗的资金难以追踪，更难以追回。它全天候 24/7 运转，没有营业时间来让任何事情慢下来。而且它天生就是对抗性的——一群全球的人在主动探测一切可以被抽干的东西。

现在把一个智能体放进这个环境，给它一把私钥，那些我反复写到的失败模式就有了一个以美元计的价格。提示注入问题不再是一段泄露的字符串了；它变成了一笔转账。事实上这已经发生过：今年五月，据报道一条提示注入链 把指令藏在一条社交媒体帖子里的摩尔斯电码中，并诱使一个 AI 去解码它们， 推着一个自动钱包去转移资金。正如一篇报道直白地写道：如果一个智能体控制着一把拥有无限权限的私钥，那么单单一次提示注入、一个 bug，或一次恶意的工具调用 就可能把资金抽干。 所有人都想要的那种能力，也正是攻击者最希望你赋予智能体的能力。

那个让它还能扛得住的思路

这就是为什么 MetaMask 的这次发布值得研究，而不只是值得害怕：它的设计把正确答案编码进去了。这个钱包的整个前提是，智能体可以自主行动，但只能 在用户定义的规则之内行动。每一笔受支持的交易都要过一条强制的安全流水线，任何被标记或落在策略之外的东西——超过每日花费上限、被路由到一个你没有放进白名单的协议——都会停下，需要人工批准才能执行。

这个词——有边界的自主——就是全部的教训，而且它的适用范围远远超出加密货币。这个选择从来都不是「完全自主的智能体」对「没有智能体」。它是「在你事先设定的硬性限制之内自主」。智能体在小的、可逆的、合规的事情上可以又快又独立，而一旦它去够某件大的或不寻常的事情，一堵墙会拦住它，由人来决定。无限私钥是错误。一条长度被明确定义的牵绳才是设计。

即使你永远不碰加密货币，也该从中学到什么

你们大多数人都不会把一个智能体接到 DeFi 钱包上。但任何一个智能体能做、而你无法撤销的事——发出那封邮件、删掉那些记录、部署到生产环境、发出那笔退款、下了那个单——都是同一个问题穿了件不同的衣服。MetaMask 交付的这个模板，就是所有这些事情的模板：

• 在赋予能力之前，先界定爆炸半径。 先决定限制——金额、白名单目的地、速率上限——并把它们做成智能体无法争辩绕过的硬约束。没有预算的能力是一把上了膛的枪。
• 让不可逆的动作为人停下来。 可逆的、小的、例行的：让智能体跑。不可逆的或不符合常态的：它暂停，等一个「行」。不可逆操作前先确认这条规则，是自动化和一个你会后悔的故事之间的那条界线。
• 假设输入是有敌意的。 一个在开放互联网上行动的智能体会被盯上——通过它的工具、它的数据、它的提示词。筛查进来的东西，永远不要让不可信的输入直接流进一个有后果的动作里。
• 在损失发生之前，而不是之后，决定谁来负责。 当智能体转错了钱，「是智能体干的」不是一个答案。一个有名有姓的人对策略和结果负责。

归根结底

给智能体配钱包，是 AI 智能体这个故事长大成人的那个点，因为它也是「出错」开始要花掉你拿不回来的钱的那个点。MetaMask 值得称赞，因为它没有发布那个天真的版本——无限自主、完整私钥——而是造了那个无聊但正确的东西：一个可以在你控制的围栏内自由行动、又被迫在围栏边缘停下的智能体。

所以当你感到一股冲动，想让一个智能体去做某件真实而不可逆的事时，借用这个模式。别问「我的智能体能不能做这件事」。要问「在一个人或一条硬规则拦住它之前，它最多能造成多大破坏」——然后把这个数字设计到一个你在最糟糕的一天也能扛得住的水平。那些被托付真金白银、被托付真实后果的智能体，不会是最聪明的那些。会是被拴在最短牵绳上的那些。