新方向:Agent 自动执行,以及它为什么昂贵
限权 session key 让 Agent 可以在用户规则内执行真实 DeFi 任务,也把 defi.io 升级为钱包和交易基础设施。技术可行不等于需求成立。
新方向:Agent 自动执行,以及它为什么昂贵
否定 Training Layer 后,defi.io 的方向发生了本系列里最大的一次变化:从行动之前的教育和判断层,进入真实资金执行。
新的产品闭环是:用户设定目标和权限,签署一份受限 session key,Agent 在允许范围内分析、构造和执行交易,defi.io 实时展示全过程,用户可以随时暂停或撤销。
一句话定位变成:
让 AI Agent 在用户控制的规则内执行 DeFi 策略。
这比训练更接近用户结果,也意味着产品不再是普通网站。
一次签名不等于无限授权
安全的 Agent 执行不能建立在“用户签一次,之后 Agent 惦记什么就做什么”上。
用户资产应保存在自己控制的智能账户中,用户始终拥有 owner 和 recovery 权限。Agent 只获得一把独立、短期、可撤销的 session key。
权限必须具体到:
允许的链
允许的资产
允许的协议和合约
允许的方法和参数
单笔与累计金额
有效期限
滑点和 recipient
是否必须人工确认
这些限制不能只写在 Agent prompt 或后端数据库中,必须由智能账户或链上权限模块强制执行。
否则,所谓 session key 只是另一把热私钥。
Agent 不能直接接触签名器
LLM 输出必须被视为不可信输入。
合理的执行链路应该是:
Agent 提出意图
-> 确定性 Transaction Builder
-> 独立 Policy Engine
-> 链上模拟与资产变化检查
-> 安全签名服务
-> Bundler / RPC
-> Onchain receipt 对账
模型不能提交任意 calldata,也不能调用一个接受任意交易的签名接口。Prompt injection、防护提示和模型自检都不能替代独立策略引擎。
defi.io 实时展示的也不应该是模型的内部思维,而是可验证事件:意图、policy 版本、模拟结果、UserOperation、交易哈希、receipt 和最终余额变化。
协议允许列表仍然不够
只允许调用 Uniswap 或 Aave,并不能自动保证安全。
Router 可能包含嵌套 command、任意 recipient、恶意路径或极差的最低输出。Aave withdraw 如果可以发送到任意地址,也可能绕过最初的消费额度。
因此,权限检查必须理解具体参数。第一版更适合使用窄协议 adapter,只开放少数动作,并固定资金最终返回用户智能账户。
这也是为什么最小试点应从 Aave supply/withdraw 开始,而不是同时支持 swap、borrow、bridge、杠杆和任意 token。
安全系统的目标不是承诺没有风险,而是限定最大爆炸半径:即使 Agent、前端或后端被攻破,攻击者也不能接管账户,实际损失被链上 policy 限制在明确范围内。
最小版本必须非常窄
一个可控的封闭试点可以限定为:
Base only
USDC only
Aave supply / withdraw
7-day session key
每用户最多约 $100
提款只能回用户智能账户
邀请制用户
不做 borrow、杠杆、跨链和任意 token
这个版本仍然需要智能账户集成、policy、Aave adapter、模拟、KMS/HSM、撤销页面、实时日志、监控和安全评审。
范围小不是为了让 demo 更容易,而是为了让权限可以被完整理解和审计。
为什么成本从网站级跃升到基础设施级
在 Training Layer 中,错误主要影响体验和少量 gas。Agent Execution 中,错误可能直接损失真实资产。
系统必须增加:
- Session key 的隔离、轮换和泄露响应。
- 智能合约 fuzz、invariant 和 mainnet fork 测试。
- 每笔交易模拟、幂等提交和链上对账。
- 协议升级监控和自动暂停。
- 用户一键撤销、单协议熔断和全局应急流程。
- 独立合约审计、后端渗透测试和 bug bounty。
- 法律、制裁、隐私和自动化投资管理边界评估。
原始预算把封闭试点估为约十二周、十几万到三十多万美元,公开 Beta 和正式生产则可能继续上升。这些只是规划区间,不是供应商报价,也不能替代具体架构后的审计估价。
真正昂贵的部分不是写出一笔 Aave 调用,而是让系统在异常、攻击、重试、协议升级和密钥泄露时仍然限制损失。
新方向仍然需要需求验证
Agent 执行比 Training Layer 更直接,却不能只靠技术可行性成立。
最关键的用户行为是:
用户是否愿意把真钱放进智能账户,签署限权 session key,并在没有人工催促的情况下持续让 Agent 执行?
注册、连接钱包和观看 demo 都是弱信号。更强的验证包括:真实用户授权小额资金、完成多次自动任务、四周后继续授权,并明确愿意为安全执行付费。
如果用户只愿意逐笔确认,产品可能更适合做 Agent-assisted transaction builder,而不是自动执行。如果用户愿意授权却不重复使用,session key 只是一次性新鲜体验。
因此,第一笔大额安全投入之前,必须先证明 delegated execution 本身有拉力。
当前留下的核心命题
第一季从“统一入口”走到“限权 Agent 执行”,看起来跨度很大,但一条主线没有变化:defi.io 一直试图组织用户意图、DeFi 动作和可信路径。
当前方向把这条主线推进到最有价值、也最危险的一层:真正执行。
它可能形成的护城河不是“AI 更会预测市场”,而是:
可理解的权限控制
+ 安全交易编排
+ 实时可观察性
+ 可验证 Agent track record
这仍然只是一项待验证的新假设,不是十五篇推演后自动得到的正确答案。
第一季可以在这里结束。下一阶段不应该继续寻找第十六个定位,而应该用用户访谈、限权原型和小额真实试点,检验人们是否真的愿意把执行权交给 Agent。
Repost this post?
Share with your followers.
Reply