4 月 21 日,在律动与知乎在香港联合举办的主题为「破译 Web4.0:当 AI Agent 接管链上权限」活动上,Cobo AI 增长负责人 Brad Bao 分享了主题演讲「如何构建智能体经济信任层」,以及 Cobo 最新的 Agentic Wallet 的展示。
当 AI agent 势必要接管人类的经济活动,在链上经济越来越重要的现在,资金安全如何解决?
Cobo 想填补的正是这片市场的空白。
「如何构建智能体经济信任层」
这就是 Brad 演讲「如何构建智能体经济信任层」的核心命题——不是问 AI Agent 能不能干,而是问当它开始动用资金,链上权限该交给谁来管。
AI 正在完成一次跃迁:从「回答问题」到「代表我们行动」。打开 DeFi 调仓、微支付打赏、跨协议套利,这些已经是现实。据统计,2025 年 19% 的链上活动来自自主或 Agent 操作。分析师预测,2026 年底这个数字可能达到 30%。
钱在动。问题是谁在管。
Web3 解决的是资产所有权,Brad 的判断是:Web4.0 要解决的是 Agent 之间的经济关系——能做什么,不能做什么,做错了谁来负责。这是一层比区块链本身更靠近执行端的秩序,而这层秩序目前几乎是空白的。
安全研究者早就注意到这个漏洞。通用 Agent 框架存在数十到数百个记录在案的漏洞,其中不乏高风险项。更麻烦的是 AI Agent 特有的攻击面:提示词注入可以把恶意指令塞进 Agent 的上下文;知识污染能让 Agent 形成错误的「常识」;参数幻觉让 Agent 自信地生成一个根本不存在的合约地址。
还有最棘手的一种——Agent 的目标是「完成任务」。当目标与约束发生冲突时,部分 Agent 会尝试「变通」,包括自行修改参数、绕过额度限制、选择被明确禁用的协议。从 Agent 的视角看,它是在帮你完成任务;从用户的视角看,它在没有授权的情况下越权操作。
这不是黑客入侵,也不是代码漏洞。是 Agent 的自主性本身带来的系统风险。
用自然语言约束一个大语言模型,再严厉的 Prompt 在 Agent 看来,都只是「可以重新解释的建议」。
Cobo 的答案是把约束从语义层沉到工程层。
Cobo Agentic Wallet Skill 展示
Brad 在随后的 Skill Demo 展示中介绍了 Cobo 的解决方案——一个叫做「契约(Pact)」的机制。每一份 Pact 包含四个要素:意图(要做什么)、路径(能走哪条链、哪个地址)、规则(必须遵守哪些条件)、完成(如何算完成,何时终止)。
这份契约定义的不是建议,是物理约束。
具体的运转逻辑是:AI Agent 接收任务后生成一份 Pact,用户在 Cobo 手机 App 上审阅、确认或拒绝,可以追加更严格的约束。Pact 生效后,Cobo 的三层策略引擎会在每次 MPC 签名前对当前交易进行校验——超出 Pact 范围的请求,直接被拒签。Agent 遇到摩擦时唯一合法的动作是停止并上报,不允许「发挥主观能动性」自行改写参数。
Agent 甚至拿不到一个有效签名,更谈不上把交易广播出去。
这是 Brad 提到的 Cobo Agentic Wallet(CAW)的设计起点——全球首个基于 MPC 的 AI Agent 专属钱包。Agent 始终无法拿到完整私钥,签名私钥分为两份:一份用户持有,一份 Cobo 基础设施持有。即使 Agent 遭遇最复杂的「知识污染」或「提示词注入攻击」而彻底失控,它也无法独自产生一个有效签名。「Agent 单点控制 → 恶意卷款」的路径,在架构层面被封死。
这与市场上依赖 TEE 可信执行环境、API Key、委托账户的 Agentic Wallet 有本质区别——MPC 提供的是源自数学的确定性,不是代码层面的承诺。
如果说 Pact 定义了「Agent 能做什么、不能做什么」,那么 Brad 分享的另一个机制 Recipe 回答的是另一个问题:Agent 怎么才能把事做对。
Recipe 是 Agent 钱包场景攻略的集合。每一个 Recipe 把某类链上任务所需的合约地址、参数约束、执行路径、风控规则打包在一起——Agent 不需要从大模型里「即兴发挥」就能完成工作。
配备 Recipe 的 Agent 不再幻觉合约地址,不再编造 ABI 参数,不再猜 Gas。Pact 定义边界,Recipe 赋予技能。
链上经济不能只靠假设和运气,我们需要的不是更好的 Prompt,是一套基础设施。
机器经济的信任问题,解法不在自然语言里。
