通过设计实现自主性： 在后界面世界中维护用户控制权

几十年来，新的抽象层定义了用户与技术的互动方式。编程语言抽象掉了机器代码。命令行让位于图形用户界面，然后是移动应用和 API。每一次转变都从用户那里抽象出更多的复杂性，但始终将人牢牢地置于循环之中。

智能体 代表着一个不同的抽象层次：它们不仅仅抽象 如何 完成任务，它们还抽象 谁来做 这些任务。在一个 Agentic 的未来，用户将指定结果，而不是行动，系统将决定如何实现它们。在加密货币和金融科技领域，智能体可以处理诸如自主重新平衡投资组合、自动化多步骤钱包交易以及跨协议路由 API 调用等任务——所有这些都由一条自然语言指令触发。这是第一个重大飞跃，其中人类意图和机器执行之间的界面变得具有概率性，而不是确定性。

换句话说，结果将开始取决于智能体对用户意图的解释，而不是预定义的命令序列。核心在于用户角色的改变：用户不再是操作员，而是协调员。他们设置初始参数，然后在系统运行时退后一步。用户的角色变成了监督，而不是互动；除非他们干预，否则默认状态是“开启”。智能体代表他们采取行动，通常无需额外的提示或批准。

当我在之前构建一家以隐私为先的 AI 公司时，我开始深入思考这种转变——现在，在我的市场推广团队角色中，我看到整个生态系统的创始人们开始与相同的问题作斗争，尤其是在智能体在加密货币系统中变得越来越普遍的情况下。加密货币一直都是关于最小化盲目信任的。Agentic 系统并没有打破这一原则——它们只是提高了我们认真设计它的标准。

本文调查了正在构建的内容——当今基础设施的快照。它还探讨了为什么用户控制对于在此堆栈层保持如此重要，以及加密货币可以发挥的作用。我还将探讨如何在智能体层进行有意的设计，使用新兴模式来维护代理权、透明度和信任。更好地理解这些方法如何融合是预测它们将如何重塑市场、用户行为和商业模式——甚至它们将如何影响你的产品的第一步。

这对创始人的意义

对于创始人、产品团队和协议设计者来说，Agentic 系统的兴起是一个重新构想后界面世界中用户主权的机会。主权不是一个 UI 功能——它是一个系统问题。随着执行从用户点击转变为自主智能体行动，智能体层的设计决策将决定用户是保持控制，还是仅仅消失在后台。这意味着要问诸如此类的问题：

• 智能体的默认设置是否安全、可逆且用户友好？
• 用户能否验证代表他们完成的事情？
• 权限是否可组合、可撤销，并在智能合约层面强制执行？
• 用户能否在批准前模拟结果？
• 授权和执行模型是否跨智能体、协议和钱包互操作？
• 它们是包含共享标准，还是锁定到自定义的、孤立的格式中？

我们将在下面深入探讨这些问题背后的背景，但简而言之，它们都指向同一个问题：当用户不再坐在执行中心时，我们如何维护信任和控制？

定义用户的代理权

用户代理权意味着能够设定界限并验证代表你完成的事情——即使你不是点击“签名”的人。它是用户主权在这样一个世界中的功能性表达，在这个世界中，智能体而不是用户将越来越多地驱动执行。

加密货币拥有在向智能体转变过程中维护用户代理权的工具，但前提是我们在系统层面重新思考授权、执行和隐私。

为了统一起点，今天的“链上智能体”主要是链下程序，它们通过钱包、智能合约或账户抽象层连接到区块链。它们使用大型语言模型（例如，GPT 4 或 Claude）来规划和做出决策，然后与区块链基础设施交互以执行它们。

这种链下合成-链上执行模型实现了强大的自动化，但也给用户可见性和控制带来了新的风险。随着时间的推移，智能体可能会演变得更原生于链上运行，将更多的合成直接嵌入到去中心化系统中。随着这种转变的展开，我们今天面临的风险只会加深，用户代理权将变得越来越模糊。

加密货币最初承诺的两个支柱是自我托管和透明度。但两者都基于用户是主动点击“签名”的人的假设。在一个智能体驱动的范式中，该模型可能会开始崩溃。智能体可以在用户甚至没有意识到之前采取行动，并且一个单一签名可能会授权一系列下游行动——其中一些用户从未明确审查过。

例如，旨在批准一项行动的钱包签名可能会被授权的智能体重复使用，以在广泛权限下执行其他行动。DAO 治理代表可以根据其训练数据集中嵌入的对“可持续性”的误解来投票。或者你可能会授权一个智能体来管理质押奖励——结果发现你的资金被重新路由到一个你从未听说过的晦涩的收益金库。你没有签署该交易——但你在技术上授权了它。

这些不是边缘案例。鉴于当今智能体系统的设计方式，它们是现实的结果。最近的一个真实案例说明了这种风险：在 2025 年 3 月，未经授权访问其控制面板的攻击者 控制了 AI 交易机器人 AiXBT。该漏洞允许他们将欺骗性命令排队，从而触发智能体将 55 ETH 转移到攻击者的地址。智能体的逻辑保持完好无损，但对其界面的破坏完全绕过了用户意图。

随着用户将更多内容授权给智能体，新的风险出现：

• 模糊的输入：模糊的提示或范围界定不明确的权限可能导致智能体在有缺陷的假设下运行。
• 无声的失败：智能体可能会在没有反馈回路的情况下失败，使用户意识不到哪里出了问题。或者是否出了问题。
• 级联效应：一个单一的批准可能会触发一个用户没有完全打算或预料到的多步骤工作流程。

在这些情况下，代理权变成了用户认为他们拥有但实际上没有的东西。

在某些情况下，代理权的侵蚀甚至更早开始。智能体可能预先包装有不透明的默认预设——用户从未明确配置的权限、连接或逻辑。当这种情况发生时，代理权不仅可能在执行时开始被侵蚀，而且可能在分发时开始被侵蚀。

恢复用户代理权

如果界面消失，维护用户控制将需要与加密货币的核心价值一起发展的新方法。

我们还处于早期阶段，但在整个生态系统中，团队正在探索安全授权、维护透明度和保护数据主权的新方法，即使执行变得更加自主。新兴模式包括：

• 智能体权限框架
• 基于意图的协调
• 保护隐私的执行
• 经过身份验证的授权标准
• 零知识智能体框架

它们共同提供了一个了解在 Agentic 的未来中控制和可组合性如何共存的视角。

此列表并非详尽无遗——智能体层技术发展迅速，并且新的模型不断涌现。相反，它提供了对在维护用户代理权方面显示出早期前景的模式的精选快照。以下的一些系统和标准是在几年前引入的，而大多数系统和标准是最近才引入的——目标只是说明下一波浪潮所建立的工作基础。

智能体权限框架

维护主权的最清晰方法之一是通过 范围界定的授权。这需要使用户能够对智能体可以做什么、在什么条件下以及使用哪些资产进行细粒度控制。

一些团队正在致力于权限框架，这些框架将约束和问责制直接嵌入到智能体的执行层：

• MetaMask 的 授权工具包 ( 2024 年年中推出；现在开发者可以使用) 为基于账户抽象的智能账户提供基础设施，使开发者能够构建具有范围界定的、可恢复的权限的钱包；无 Gas 交易；以及零提示用户流程。2025 年，MetaMask 通过多链智能账户支持和基于策略的权限扩展了该工具包，加深了其作为智能体授权标准的角色
• Coinbase 的 AgentKit 结合了基于多方计算 (MPC) 的密钥控制、会话限制的授权和账户抽象，以支持安全的链上智能体行动。这会将主权直接嵌入到智能体执行中。它的继任者 x402 于 2025 年 10 月推出，将这些想法扩展到一个完整的智能体应用程序开发者平台。（更多内容请参见结尾部分。）
• EIP-7702 在 Ethereum 的基础层扩展了这些想法。作为 Pectra 升级的一部分，EIP-7702 允许外部拥有的账户 (EOA) 暂时表现得像智能合约钱包。换句话说，EOA——由私钥控制的标准 Ethereum 账户——可以暂时表现得更像一个可编程的智能合约。这解锁了对会话密钥和消费限额的本地支持，加强了智能体权限，而无需依赖自定义钱包逻辑。
• Biconomy 的 授权授权网络 (DAN) 为 AI 智能体引入了一个可编程的授权层。它建立在 EigenLayer 的主动验证服务 (AVS) 之上，通过共享签名来管理密钥并强制执行用户定义的约束，其中多个方必须批准每个行动。（有关 AVS 如何工作的更多信息，请参见有关可验证执行的部分。）
• Lit Protocol 的 Vincent Tool SDK (v3 于 2023 年 12 月发布，v4 于 2024 年 3 月发布) 允许开发者定义智能体可以采取的行动以及管理智能体的策略，包括支出上限、条件逻辑和多方同意触发器。
• Autonomys Network (以前称为 Autonomy Network) 允许用户为智能体行为定义可编程的“轨道”，包括 Gas 上限、资产类型和目标允许列表，并确保行动保持在用户设定的界限内。
• Instadapp 的 Avocado Avocado 允许在用户定义的范围内进行策略授权，例如“每周重新平衡”或“仅与白名单协议交互”，方法是使用具有模块化身份验证层的智能合约钱包。
• Fireblocks, Dynamic.xyz ， 和其他公司也使用 MPC 进行密钥管理。他们将签名权限分散到各个服务中，以约束智能体的行动。通过防止任何单一智能体或服务完全持有用户密钥的托管权，MPC 直接在签名层强制执行策略。

总的来说，这些框架表明，让用户能够预先设定明确的界限有助于通过设计来保护他们的代理权。

以意图为中心的基础设施

随着 UX 进一步远离直接的用户交互，一些团队正在完全重新思考交易模型。一种新兴的方法是从基于指令的系统（用户批准每个步骤）转移到 基于意图的架构，在该架构中，用户（或智能体）指定结果，而系统确定实现它们的最佳方式。

• NEAR 的意图 框架允许用户定义一个期望的结果（例如，“桥接代币和质押”），而无需指定如何做到这一点。一个去中心化的求解器网络竞相高效地满足该请求。这些求解器在后台处理路由、执行和优化。这已经上线并获得了关注。根据 DeFiLama 的数据，自 2024 年第四季度推出以来，NEAR Intents 的累计 DEX 交易额已超过 70 亿美元。
• Anoma (主网将于 2025 年推出，处于早期部署阶段) 引入了一个完全基于意图的架构。它使用一个 Gossip 协议进行去中心化的意图发现，用户将意图广播到一个共享的协调层中。交易对手通过加密执行来匹配和满足这些意图。
• Particle Network V2 引入了一个内置于 zkWaaS（零知识钱包即服务）堆栈中的“意图融合协议”。用户通过自然语言或界面触发器来表达目标，求解器会跨链解释和满足这些目标。

在以意图为中心的系统中，用户定义他们想要什么，而不是如何获得它。这种抽象使智能体能够确定最佳前进道路，通常无需可见的界面。虽然这可能很强大，但它可能也涉及更明确的用户授权，因为智能体（或求解器）负责解释意图并代表用户执行。

经过身份验证的授权标准

随着智能体获得更多的自主权，谁在授权什么——以及何时授权变得不清楚。经过身份验证的授权框架使这成为可能，它允许用户向智能体授予范围界定的、可验证的权限，并从设计上内置了可审计性。

• WalletConnect 智能会话 允许用户授权智能体在定义的会话窗口中执行范围界定的操作——例如执行交易或领取奖励。用户设置一次参数，智能体在该时间范围内自主行动，从而减少重复确认，而不会丢失用户定义的限制。
• MIT 的经过身份验证的授权框架 使用智能体特定的凭证扩展了 OAuth 2.0。它创建了加密可验证的授权链，将人类用户、软件智能体和授予的权限链接起来，从而实现了跨平台的细粒度、可撤销和可审计的授权。
• MIT 的非权威性、不可否认的授权架构 (NANDA) 探讨了如何在不向任何单一智能体授予完全控制权的情况下创建加密的授权委托链。通过使智能体能够在不承担 Root 权限的情况下以可证明的、受约束的意图行事，像 NANDA 这样的模型可能成为智能体驱动系统中可扩展的、可验证的授权的基础。
• 模型上下文协议 (MCP) 建议将智能体元数据（例如，意图、身份、授权范围）直接嵌入到交易有效负载中。虽然仍在发展中，但 MCP 提供了一个潜在的标准，用于在执行层中保留上下文和归属。

这些方法不仅仅改进了 UX。它们将以用户为中心的功能（如同意、归属和撤销）直接嵌入到开放系统中。

可验证的执行层

随着智能体开始自主行动，了解它们所做的事情——以及它们是否正确地做了它——变得更加重要。如果没有可审计的线索，用户意图可能会被歪曲，从而导致智能体在问责制不透明的情况下推动意外的结果。

可验证的执行系统引入了用于验证智能体行为的加密机制和激励对齐机制，即使执行发生在链下。

• EigenCloud 的主动验证服务 (AVS) 为验证智能体行动提供了一个去中心化的信任层。质押的验证者监控并证明链下执行的正确性，并且可能因不诚实或不作为而被罚没。这创建了一个超越基础协议的密码经济问责层。
• AVA 协议 (于 2024 年 7 月推出)， 作为 EigenLayer 上的 AVS 构建，专注于可验证的 AI 智能体。它使模型能够将任务执行记录在链上，并将惩罚与执行质量和正确性联系起来。
• 零知识 (ZK) 证明 可以提供一个强大的工具来验证计算是否正确执行，而无需泄露其输入或中间状态。Aleo、zkSync 和其他公司正在探索这项技术，以使链下智能体行为可审计，而不会牺牲输入隐私。

这些方法有助于将智能体行为从黑盒变成更透明、可审计的记录。让用户清楚地了解代表他们完成的事情是朝着维护他们的代理权迈出的有益一步。

零知识智能体框架

虽然 ZK 证明 可以帮助验证智能体行为，但一些公司更进一步，构建完整的在零知识环境中本机运行的智能体框架。当智能体处理敏感输入或必须以保密方式进行协调时，仅透明度是不够的。需要从一开始就设计隐私。ZK 技术允许智能体证明它们所做的事情——而无需透露原因或方式。

• Aleo 的 ZK 智能体 堆栈 将自定义零知识虚拟机与保护隐私的编程语言 (Leo) 相结合，允许代理私下执行计算，同时仍然允许公开验证。
• Seismic 的 加密区块链架构 利用安全硬件和加密的状态转换来启用机密智能体工作流程，元数据仅向授权方公开。
• 基于 ZK 的钱包集成，包括 Particle Network 和 Lit Protocol 开发的集成，允许智能体与链上应用程序交互，而无需暴露会话密钥、用户身份或细粒度的钱包历史记录。

隐私还必须保护用户免受因代表他们采取行动的智能体而产生的被动监视。这些 ZK 原生系统允许用户保留对其敏感输入的控制权，而无需放弃自动化或功能。

多智能体协调系统

智能体不会孤立地运行。随着 Agentic 系统的激增，它们之间的协调变得不可避免且更加复杂。我们将需要支持智能体到智能体的信任、治理和可组合性的协议。

多智能体协调系统为智能体提供了一种发现、相互通信和响应的方式。

在协议层，Google 的 智能体到智能体 (A2A) 协议 定义了一个标准化的通信层。它包括用于智能体发现、任务生命周期管理、流式更新和安全消息传递的原语。这实现了可靠的、可互操作的智能体到智能体的协作，同时在整个系统中保留了上下文、意图和可审计性。

最近的提案，如 ERC-8004（无信任智能体）使用加密原生信任模型扩展了 A2A。这些包括信誉评分、权益担保验证和可信执行环境 (TEE) 证明等内容。通过这些方法，加密货币可以使用工具来补充现有的协调标准，这些工具可以在整个智能体生态系统中保留问责制和可验证性。

在市场和基础设施层，Fetch.AI 的 Agentverse 正在构建一个去中心化的智能体市场，其中 DAO 可以部署智能体来管理投票、流动性、元治理和资源分配。同样，Bittensor 支持一个去中心化的 AI 网络，其中模型（作为智能体）跨专门的子网进行训练，通过代币化的反馈循环进行协调，并竞争基于性能的奖励。

在应用协调系统中，ElizaOS 展示了投资 DAO 如何将资本管理委托给自主智能体。他们的智能体在代币持有者治理设定的界限内提出交易、重新平衡投资组合和执行策略。SingularityDAO 提供了一个混合模型，将人类和智能体决策结合在 DeFi 投资组合管理中。AI 智能体处理战术性投资组合管理方面的执行，而人类治理则设定战略意图。

这些系统指向了一个未来，其中智能体到智能体的互动将成为常态——并且共享方法确保智能体到智能体的协调不会侵蚀用户意图、控制或自主性。

分裂的风险

虽然每种方法都显示出希望，但分裂将会加剧。这种分裂也将跨越整个智能体堆栈，而不仅仅是智能体到智能体的协调协议。因此，团队正在为意图、授权和权限设计自定义格式。这些组件单独使用时可能很强大，但如果没有共享的设计框架，智能体系统可能会变得孤立——限制了跨平台的可互操作性并破坏了用户主权。

例如，构建在 MetaMask 的授权工具包上的智能体可能无法理解另一个构建在定制 MPC 钱包上的智能体广播的意图。像这样的示例可能会创建一个围墙花园的拼凑而成，其中智能体只能说他们自己的语言和方言。这正是设计开放区块链网络的目的所在，即避免这种情况的发生。

至少在 Ethereum 上，已经开始解决这个问题。EIP-8001（安全意图）提出了一个用于意图模式的加密标准。如果得到广泛采用，它可以为智能体提供一种用于授权和协调的共享语言，从而在智能体生态系统扩展时保持可互操作性和用户控制。

\\*\

这种转变正在跨越真实系统展开。像 Coinbase x402 这样的平台指出了这个未来可能的样子：范围界定的、可验证的和可组合的自主性直接构建到生产系统中。x402 为智能体提供策略签名权限、MPC 保护的密钥管理和可验证的链上执行。通过 Coinbase Bazaar，智能体可以自主地发现和支付服务费用，同时用户仍然可以查看和撤销每笔交易。这些组件将抽象原则转化为实际的开发者原语。（有关智能体和服务活动的实时视图，请参见 x402scan。）

加密货币相邻生态系统中最近的发布表明智能体驱动的执行发展得有多快：在 AI 原生生态系统中，OpenAI 的 Operator Agent 已经可以通过虚拟浏览器浏览网站、填写表格和进行购买——自主地且只需最少的用户提示。在支付方面，Visa 的 智能商务 和 Mastercard 的 智能体支付 正在为 AI 系统发布代币化的、与智能体绑定的凭证。与上述某些方法类似，这些系统包括范围界定的支出限制、可编程的身份验证流程和审计跟踪。 这些不是加密货币原生系统，但它们表明智能体优先执行已经在进行中。 对于那些在加密货币中构建的人来说，这是一个真正有机会领导潮流的机会。与传统技术不同，加密货币具有将用户意图、授权和验证直接嵌入到架构中的原语。结合可互操作性的共享框架，这些系统可以支持 可组合的、对用户负责以及默认情况下由用户控制的智能体生态系统。 我们还处于早期阶段。但是，构建者现在做出的选择将定义在 Agentic 时代如何保留控制、隐私和同意。加密货币可以确保代理权留在它所属的位置：用户手中。 你应该就这些事项咨询你自己的顾问。提及任何证券或数字资产仅用于说明目的，并不构成投资建议或提供投资咨询服务的要约。此外，本内容并非针对任何投资者或潜在投资者，也不旨在供其使用，并且在任何情况下均不得在决定投资 a16z 管理的任何基金时依赖本内容。（对 a16z 基金的投资要约将仅通过私募备忘录、认购协议和任何此类基金的其他相关文件进行，并且应完整阅读这些文件。）提及、引用或描述的任何投资或投资组合公司均不代表 a16z 管理的工具中的所有投资，并且不能保证这些投资将盈利，或者未来进行的任何其他投资将具有相似的特征或结果。由 Andreessen Horowitz 管理的基金进行的投资清单（不包括发行人未允许 a16z 公开披露的投资以及未宣布的公开交易数字资产投资）可在 https://a16z.com/investment-list/ 获取。 该内容仅在指示的日期发表。这些材料中表达的任何预测、估计、预测、目标、前景和/或观点如有更改，恕不另行通知，并且可能与其他人表达的观点不同或相反。有关其他重要信息，请参见 https://a16z.com/disclosures/。

• 原文链接： a16zcrypto.com/posts/art...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～