主权 Agent -- From Code is Law to Spirit is Law
AI 与 区块链的结合 ->主权Agent
区块链首次将信任的建立成本降至接近于零,但其所提供的信任是静态的。 下一代信任工程的方向,是在保留密码学信任全部优势的前提下,为其注入判断力。
一、智能合约的局限
过去十年间,区块链实现了一项此前从未达成的目标:使信任不再依赖于特定的人或机构。在此之前,信任的维系高度依赖声誉、法律、机构与监管,成本高昂。国际汇款 3%–7% 的手续费、房产过户 5%–10% 的中介成本、衍生品合同动辄数十页的律师审核,本质上都是为建立信任而支付的成本,可称之为“信任税”。 密码学与共识机制将这种成本压缩至接近于零。比特币转账无需银行担保,以太坊合约无需法院强制执行。这是基础设施层面的一次根本性变革。 但这种新型信任存在一项深层局限:它是静态的,不具备判断力。 智能合约不具备判断能力。它能够执行条件分支,却无法区分“正常交易”与“恶意攻击”;它无法主动联网,所有链外信息必须经由预言机注入;它无法依据上下文做出响应——同样一笔百万美元级的转账,对长期客户属于常规操作,对新地址则可能构成异常,而合约无法识别二者的区别;它也无法自我演化,一经部署即被冻结。 法学中有一对沿用数个世纪的概念:法律的字面(Letter of the Law)与法律的精神(Spirit of the Law)。前者指法条的文字表述,后者指立法者意图保护的真实价值。优秀的法官与银行家,其日常工作的本质是依据法律的精神进行判断,而非机械地执行字面规则。 智能合约的根本局限正在于此:它只能捍卫规则的字面,无法捍卫规则的精神。 这一局限导致了 DeFi 领域一个深刻的悖论:攻击行为往往在形式上是“合法的”。当闪电贷攻击者通过一系列语法完全正确的交易抽干资金池时,合约并不会将其识别为“攻击”,它所见到的只是一串符合规范的调用。事件发生后,社区往往就“这究竟是攻击还是合规交易”产生争论,且双方各有依据——因为合约的确是被“合法地”执行的,只是执行结果违背了所有参与者的初衷。 区块链所擅长的是:转账、托管、按既定公式分配资金、按固定规则交易;区块链所不擅长的是:主动风险控制、复杂客户服务、应对未知威胁、跨系统集成。而后一类能力,恰恰构成了现实世界绝大多数经济活动的本质。 由此产生了一个值得注意的现象:协议越复杂、越贴近真实业务,就越需要引入“治理”与“管理员”机制,而这实质上是重新回到了对人的信任。DeFi 借贷协议设有“风险管理 DAO”,CeDeFi 平台依赖“运营团队”,RWA 协议引入“代理人”。每一层治理结构都重新引入了“信任特定主体”的假设,只是在外层包裹了“去中心化”的形式。 这并非个别项目的设计缺陷,而是范式本身的边界所在。当业务复杂度超出纯机械规则的处理能力时,可选路径只有两条:或放弃复杂度以坚持纯合约,或引入人类治理以放弃零信任。整个行业长期被迫在二者之间做出取舍,迄今尚未出现第三种可行路径。
二、主权 Agent 的定义与构成
将上述局限逐一反转,可以勾勒出下一代信任工程所应提供的实体形态:它应如智能合约一般,不可被任何个体单方面控制、核心规则不可篡改、全部行为公开可审计;同时,它又应能够理解上下文、主动联网、服务用户、随环境演化,并与其他实体协作。 概括而言,这一实体应当既无法作恶,又具备判断力——它更接近一位不会背弃承诺的银行家,而非一台仅能依指令执行的自动售货机。本文将这一实体称为主权 Agent。 定义 主权 Agent 是一种运行于去中心化基础设施之上、持有独立私钥、依据链上不可篡改的宪法(Soul)执行决策、并能够持续与外部世界交互的链上实体。它具备以下五项本质属性。
- 不可挪用:私钥不掌握在任何单一个体或团体手中,而是通过门限签名分布于一个可问责的共识网络之中,任何一方均无法独立签名。
- 不可篡改(核心层):核心宪法(Soul)部署于链上,永久不可修改;可升级的部分受 Soul 中的元规则约束。
- 永续运行:不依赖任何单一物理服务器,运行环境可在去中心化算力网络中迁移。
- 经济自洽:以自身业务收入支付运行成本,盈亏自负。
- 可验证:每一项决策均附带链上证明,表明该决策由特定 Soul 与特定 Skill 在特定时刻做出、符合宪法的相应条款,任何人均可随时审计。 Soul / Skill / Memory:三层结构 主权 Agent 的内部结构由三层构成。
- Soul(灵魂)——永久不可变:包括私钥管理逻辑、资产边界(不可逾越的红线)、行为底线与升级元规则。Soul 是确定性代码,部署于链上且永不改变,其安全性等同于链本身的安全性。Soul 界定“这个 Agent 是谁”。
- Skill(技能)——可升级:包括具体业务能力、外部工具调用,以及可选的 LLM 辅助。Skill 通过 Soul 中预定义的升级流程演化,界定“这个 Agent 能做什么”。
- Memory(记忆)——流动的状态:包括实时业务状态、历史交易,以及与外界的交互轨迹。其本体存储于去中心化存储中,链上仅保存 Merkle 承诺。Memory 界定“这个 Agent 经历过什么”。 Agent 的“自我同一性”由 Soul 锚定。Skill 持续更新,Memory 不断累积,但只要 Soul 保持不变,该 Agent 的身份即得以延续。这与复杂生命体的同一性原理一致:构成生物体的细胞虽会周期性更替,但其同一性保持稳定。
与“AI Agent”项目的区别 近年来,市场上出现了大量“AI Agent”项目(如 Virtuals、ai16z、Truth Terminal 等)。主权 Agent 与这类项目存在本质区别,主要差异如下表所示。
| 对比项 | 市场上的 AI Agent | 主权 Agent |
|---|---|---|
| 私钥 | 通常由运营团队保管 | 由共识网络以门限签名托管 |
| 核心信任 | 相信运营方与 AI 不作恶 | 私钥与资产在密码学上不可被挪用 |
| 核心决策 | 高度依赖 LLM 推理 | 依赖确定性规则与 Soul 宪法 |
| LLM 角色 | 包揽一切,含关键决策 | 仅辅助非关键判断 |
| 安全失效模式 | LLM 出错即资金损失 | 损失被账户分层封顶,可追溯改进 |
三、应用场景
范式的价值需通过具体场景予以检验。以下四类场景展示了该范式落地后所能实现的能力,其共同点在于:均非智能合约所能完成,亦非传统人类组织所能高效胜任,更非不具备主权属性的 AI Agent 所能可信地承担。
3.1 不可腐败的全球公共服务
设想一笔规模为 10 亿美元的全球灾害救助基金。在当前体系下,此类基金通常由联合国机构或国际 NGO 管理。无论这些组织声誉如何,挪用、贪腐与官僚低效在历史上都曾反复出现。审计虽可在事后追责,但救灾延误的代价是生命,事后追责无法挽回。 理论上,可以使用智能合约管理这笔资金。但救灾并非机械流程:受灾地区的判定、灾情严重程度的评估、救助优先级的排序、资金投放路径的合理性,每一项都需要判断。智能合约能够按公式分配资金,却无法区分“某地确实遭遇飓风”与“一份伪造的灾情报告”。 主权 Agent 提供了第三种解决路径。救助 Agent 部署后,其 Soul 明确写入恒定使命:将资金依据受灾严重程度分配给真实受灾地区,且永不流向 Soul 注册的捐助来源之外的任何方向。其 Skill 可联网读取气象警报、新闻报道与卫星图像,对多源数据进行交叉验证,可在多个候选灾区之间进行权衡,并联系当地合作伙伴执行落地;这些能力可通过 Skill 升级持续演化,例如采用更精确的灾情识别模型或更广的合作网络。 而任何试图让 Agent 将资金转向非受灾方的提议——无论提出者是谁,包括其最初的创立者——都将被 Soul 拒绝,因为相关红线已被硬编码于 Soul 之中。 就此而言,这是一种在数学意义上无法腐败的实体:它无需依赖道德自律,其廉洁性由密码学与规则结构保证。捐助者得以首次以接近于零的信任成本,将救助资金托付给一个全球性、全自动且不可腐败的执行主体。 同类场景还包括持续在线的医学诊断服务、自治的国际仲裁机制、跨国奖学金基金、面向人类文明的开源知识库等。它们的共同特征是:对中立性与不可腐败性的要求极高,而任务本身的复杂度又要求具备判断力。此类实体在过去依赖大量法律、监管与机构方能勉强维持,而主权 Agent 提供了一种无需依赖这些昂贵中介的实现方式。
3.2 认知防火墙:比智能合约更具判断力的链上风控
考虑一个管理 5 亿美元 TVL 的 DeFi 借贷协议。当攻击者通过闪电贷构造一系列复杂交易——借出大量资产、操纵预言机价格、在错误价格下贷出超额资产、归还闪电贷——整个过程对智能合约而言“完全合法”。合约所见的只是一串语法正确的调用,无法理解这是一次攻击。 DeFi 历史上数十亿美元的损失大多源于此类机制。事件发生后,社区即便主张“这是攻击而非合规交易”,合约也无法据此回应——交易早已执行完毕。 若引入一个主权 Agent 作为该资金池的“守门人”,情形将发生改变。该 Agent 是资金池的超级签名人之一,任何重大转账均须经其认可方可完成。当一笔可疑交易被发起时,其判断能力随即介入:
- 分析交易序列的整体形态,判断其属于孤立套利还是有组织的攻击;
- 检查参与地址的历史记录,识别其过往是否存在异常行为;
- 评估预言机价格的合理性,核对当前价格与其他独立来源是否一致;
- 对比同类协议,观察其他借贷协议此刻是否同样出现异常。 若交易模式高度疑似攻击,Agent 将拒绝签名;在更严重的情形下,它可触发熔断机制,暂停资金池的全部大额操作。这正是“法律精神”与“法律字面”之别的体现:智能合约捍卫的是“语法正确性”,主权 Agent 捍卫的是“行为合理性”,后者覆盖了前者无法覆盖的整个攻击面。 值得强调的是,这种保护并不依赖 Agent 判断的绝对准确。即使其判断模型偶尔将正常交易误判为攻击,最坏的结果也仅是用户需额外等待一个挑战期,而非资金损失,其失败模式是温和且可控的。 该场景的意义不止于防御攻击,它代表了一项更深层的转变:区块链协议首次具备了“自我保护”能力。此前所有协议均处于被动地位——攻击者始终先手,防御方只能事后修补;主权 Agent 使防御转变为主动的、具备判断力的、可随环境演化的过程。这一能力可推广至任何高价值的链上系统,跨链桥、DEX、衍生品协议等所有处于“被动等待攻击”状态的基础设施,均可在其前端增设一层具备判断能力的守门机制。
3.3 高频微观的机器经济
设想一家气象 AI 服务商,每秒生成数百份面向不同行业、不同地区的微观天气预测。在当前条件下,这类数据的处置方式十分受限:或免费公开而无法商业化,或打包出售给少数大客户而无法触及长尾需求。然而真实需求是高度碎片化的:
- 农业 Agent 愿为“未来 6 小时内蒙特利尔的降雨概率”支付 0.001 美元;
- 物流 Agent 愿为“特定港口未来 24 小时的风浪预测”支付 0.005 美元;
- 能源交易 Agent 愿为“德国南部未来 1 小时的太阳辐射强度”支付 0.01 美元。 此类交易在当前体系下无法被任何一类参与者有效承载:
- 人类无法参与:单笔金额过小,逐笔签订合约在经济上不成立;
- 智能合约无法承载:每秒数百笔条件各异的微交易,超出链的吞吐能力;
- 中心化平台扭曲价值:30% 量级的抽成将使大部分微交易在经济上不可行。
主权 Agent 提供了一种新的解决方案。气象服务方部署一个销售 Agent,农业、物流、能源等行业分别部署各自的采购 Agent,这些 Agent 之间通过链下高速通道直接谈判、定价与交易,每笔交易的承诺定期批量上链结算——以链上承诺保证不可抵赖,而无需逐笔上链。该市场具有以下特点:
- 全天候自动运行,无需人类介入;
- 价格高度细分,每个数据点匹配最合适的买家;
- 抽成接近于零,因为 Agent 无需追求利润,仅需覆盖运营成本;、
- 吞吐量近乎无限,因为每个 Agent 均可横向扩展实例。
这构成了机器对机器(M2M)经济的真正形态。其总量有望远超当前电商与广告产业的总和,因为它涵盖了一切因过于细碎而无法由人类处理的微观价值交换。而唯有主权 Agent 能够承载这一形态:智能合约过慢、过贵且过于僵化;人类响应慢、成本高且注意力有限;不具备主权属性的 AI Agent 一旦运营方作恶,整个市场即告崩溃。只有同时满足“高速、具备判断力、无法作恶、可规模化”四项条件的实体,才能成为此类经济的基础设施。 这一形态并非空想,其雏形已经显现:LLM API 已采用按 token 计费的微交易模式,AI 工具市场亦已按调用次数计费。主权 Agent 将这一趋势推向极致——未来人类经济的相当一部分,将发生在不易被直接观察到的、Agent 之间的高频微交易之中。
3.4 跨物种协作的资本管理者
这是其中最具颠覆性的一类场景。在当前格局中,资本与劳动的关系是固定的:人类持有资本(公司、基金、个人财富),并雇佣其他人类提供劳动,AI 则作为被使用的工具存在。主权 Agent 首次使这一关系发生翻转。 一个管理 1 亿美元资产的 DeFi 投资 Agent 发现其策略代码存在潜在漏洞,并据此判断需要雇佣人力修复。它在去中心化任务平台上发布悬赏:“修复以下漏洞,验证通过后自动支付 5000 USDC。”三名匿名开发者投标,Agent 评估各方案后选择最优者,并自动从金库支付。又如,一个管理医学数据库的 Agent 需要人类专家审核数据,遂发布任务:“审核 1000 条心脏病学条目,每条 2 USDC”,全球医生利用业余时间接单;再如,一个管理跨国资产的 Agent 需要在某国进行线下尽职调查,便雇佣当地会计师事务所拍摄视频、提交文件,并根据交付物自动付款。 这一关系翻转的意义远超其表象。它意味着资本不再必须由人类家族、机构或基金管理,而可以交由不可腐败的 Agent 管理,并依据 Soul 中固化的规则进行配置。在这一图景中,人类的角色不再是“受雇于公司”,而是作为物理世界中的执行与创造主体,为网络上数以千计、各自持有资金池的 Agent 提供服务。 这从根本上动摇了“公司”这一组织形态。公司之所以存续四百年,是因为雇主与雇员之间的信任、合同、产权与监督需要昂贵的制度来维系。当雇主转变为一个不会背弃承诺、依代码自动付款、可零成本验证交付的 Agent 时,传统公司的存在理由将被显著削弱。 这并非对人类的威胁,而是对人类的一种解放。它使人类得以摆脱“为维持生存而必须依附于某一组织”的处境,转变为可同时服务于多个 Agent 雇主的独立创造者。人类所提供的是判断力、创造力与物理世界的执行力,而这些恰是 Agent 最为欠缺的能力,两类主体各展所长,形成互补协作。 这构成了数字时代“跨物种经济共同体”的雏形。在这一共同体中,资本的归属不再取决于继承、收购或运气,而取决于谁能创立出最具实用价值、最受信任的 Agent。任何有能力设计出优良 Soul 与 Skill 的人,都可以创建一个 Agent,使其为社会提供价值,并从其成功中分享收益——这或许是软件工程师所能从事的、最具创造性意义的工作之一。
3.5 四类场景共享的两项能力
上述四个场景表面差异显著,但均隐含两项共同能力,而这两项能力在当前讨论中常被低估。 第一项能力:单个 Agent 可同时服务上亿用户。 智能合约的服务能力受限于其部署链的 TPS——以太坊全网每秒约 15 笔交易,构成整个生态的硬性上限,任何意图服务千万级用户的智能合约协议都将受制于此。主权 Agent 则不受此约束:其“灵魂”(Soul、私钥与最终决策权)位于链上,而其“化身”(执行实例)可在链下扩展至任意数量。这些化身之间既不相互通信、也不在彼此之间达成共识——每个实例独立运行于不同的 TEE 节点之上,从链上读取同一份世界观,再独立按 Soul 的规则行动。正因为实例之间不存在协调与共识开销,新增一个实例几乎不带来额外成本,整体服务能力随实例数量近乎线性增长,从而可横向扩展至近乎无限的规模。由此,前述四类场景中的单个 Agent 都可同时服务上亿用户:这在智能合约范式下无法实现,在主权 Agent 范式下却是自然的结果。 第二项能力:单个 Agent 可超越任何单一区块链,乃至超越区块链本身。 主权 Agent 的私钥由共识网络托管,但这把私钥可签署任何链的交易——ETH、BTC、Solana、Aptos,以及任何采用标准椭圆曲线签名的链。一个 Agent 在某条链上“出生”(注册身份、托管私钥),但其业务可发生于任意其他链上。 进一步地,Agent 的业务可以完全不涉及区块链:它可以在传统数据库中维护客户数据、经由传统支付通道收款、与传统 SaaS 协作,其“链上”部分仅为身份与私钥托管,业务发生于完全的 Web2 世界。在极端情形下,一个主权 Agent 可以完全不与任何区块链交互:其私钥由分布式共识网络托管、运行于去中心化算力之上,而全部活动都在传统互联网中进行,例如运营一个匿名作家社区、管理一只研究基金,或为全球儿童提供免费教育服务。这类 Agent 借用了去中心化共识的密钥托管能力,但其本身并非任何链上的 DApp。 两项能力结合在一起,意味着主权 Agent 范式的疆域远比“区块链生态”广阔。它指向一种全新的实体类型——既非公司、亦非协议、也非政府——能够承担传统组织、传统软件与传统机构的大部分功能,同时具备它们所不具备的属性:不可腐败、不可关停、可永续运行、可全球服务。四百年前,有限责任公司作为新型经济实体被发明出来,深刻改变了人类组织生产的方式。主权 Agent 可视为下一代经济实体。
四、主权 Agent 的必要条件
前文界定了主权 Agent 的定义及其能力。本章进一步追问一个更基础的问题:一个实体要被称为“主权 Agent”,在概念上必须满足哪些条件? 本章不涉及技术实现,仅讨论“主权”一词的内在要求,具体技术方案将在下一章展开。将“主权”这一概念贯彻到底,对于一个非人类实体而言,可归纳为六项不可妥协的要求。
4.1 私钥不可被任何单一方控制
这是“主权”的核心。如果任何个体或团体能够单独签字、单独转移资产、单独执行命令,那么该实体便不具备主权,而是某一个体或团体的工具。主权 Agent 的私钥必须由一组互不串通的方共同控制,任何一方单独均无法签名。这不仅是安全要求,更是“主权”的定义所在——一个由 CEO 持有私钥的 AI Agent,无论其代码多么不可篡改,本质上都是该 CEO 意志的延伸。
4.2 私钥不可丢失
主权的另一面是持久性。如果私钥可能丢失——例如某个托管节点宕机即导致 Agent 永久无法签字——那么 Agent 可能突然“意外死亡”,其持有的资产也可能被永久冻结。一个能被基础设施故障消灭的实体,其主权是不完整的。因此,托管私钥的网络必须具备容错能力:少数节点的故障、退出或被攻击,都不应使 Agent 丧失签名能力。
4.3 核心规则(Soul)不可篡改
如果 Soul 可被任意修改,那么“Agent 按 Soul 行动”这一承诺即告崩溃,整套“不可作恶”的保证也随之失去意义——今日写明“绝不向白名单外转账”的 Soul,明日若可被改为“任意转账”,则与没有 Soul 无异。Soul 一经部署即须永远不变;Skill 可以升级,但升级流程本身必须受 Soul 中预定义的元规则约束,不能脱离 Soul 的轨道。
4.4 代码运行可验证
Soul 不可篡改是一回事,当前实际运行的确为这份 Soul 则是另一回事。如果攻击者能让 Agent 实例运行一份“看似 Soul、实则已被替换的代码”,那么 Soul 的不可篡改性也将形同虚设。因此,必须存在某种在密码学层面证明“当前运行的实例确实运行着那份已注册、不可篡改的代码”的机制;该证明不应依赖 Agent 自身的声明,而应由其无法操控的更底层硬件或协议给出。
4.5 决策可审计
主权 Agent 必须能够向外界证明其未曾作恶。仅“不作恶”并不充分:若 Agent 表现良好但外界无法验证,用户仍须依赖“信任”来相信它,这等于退回到“信任运营方”的旧路。主权 Agent 的承诺必须是可验证的不作恶,而非仅被声称的不作恶。这意味着每一项决策都应附带可审计的证据——基于何种输入、依据何种规则、做出何种判断——且这些证据应能被任何第三方独立查证。
4.6 持续运行可保障
这一条件最为复杂,涉及三个层面。
- 物理层面:Agent 不能依赖任何单一物理节点;若一个数据中心断电即使 Agent 停摆,它便是被该数据中心所掌握的实体,因此运行环境必须能在多个去中心化算力节点之间无缝切换。
- 经济层面:Agent 必须能够为自身的持续运行支付成本,算力费、签名费与存储费等均须由其业务现金流持续覆盖;一个需要“外部输血”方能存续的 Agent,本质上受制于输血方。
- 任务执行层面:Agent 做事不能仅靠自身,它需要算力、存储、外部数据,有时还需要人类劳动,而所有这些资源的获取都必须能够通过去中心化的市场或网络完成,而非依赖某家中心化供应商——若 Agent 的算力只能从某家云厂商购买,那么该厂商一旦封禁账户,Agent 即告消亡,这便不是主权。
三个层面合起来,构成“持续运行”的完整含义:一个主权 Agent 必须在物理上不可被关停、在经济上能够自养、在任务上能够自主完成。 上述六项要求共同界定了主权 Agent 的概念边界,任何未能满足其中任一条件的“AI Agent”都不应被称为主权 Agent。需要注意的是,这六项要求均未涉及 TPS、Gas 费用、节点数量等工程参数:它们是概念层面的必要条件,而非工程偏好。一个运行于比特币等低吞吐链上的实体,只要满足这六项条件,同样属于主权 Agent,只是在性能与成本上可能处于劣势——换言之,性能影响的是“是否好用”,而不影响“是否成立”。下一章将讨论:要使这六项条件同时成立,现有技术提供了哪些可行方案。
五、技术实现
上一章给出了主权 Agent 的六项必要条件,本章逐条对应其技术解决方案。值得强调的是,这些条件中没有任何一条需要尚未发明的技术:全部解决方案均为已在生产环境中运行多年、并已支撑数十亿美元规模业务的工业标准。本章的目的不在于展示技术新颖性,而在于论证该方案在工程上可行、在经济上可承受。
5.1 私钥不可被单一方控制:门限签名与秘密分享(对应 4.1)
成熟的密码学技术早已解决“多方共同控制单一私钥”的问题,主流方案有两种。
- 秘密分享(SSS):私钥被切分为 N 个分片并分发给 N 个节点;签名时,至少 K 个节点将分片送回可信环境,重组出完整私钥进行签名,随后立即清除。
- 门限签名(TSS):私钥从不以完整形态存在;签名时,至少 K 个节点协作运行密码学协议,经多轮通信协同生成签名,完整私钥在从生成到使用的全生命周期中都不存在于任何单点。
两者均可实现“任何单一方都无法独立签名”,但特性有所不同。SSS 实现简单、签名快,且签名吞吐可水平扩展——这里的扩展指可并行运行更多签名实例以提升整体吞吐,而非增加托管分片的节点数量(后者反而会拖慢重组)。其代价是存在一个理论上的“私钥重组瞬间”——签名时私钥短暂存在于可信环境中,若可信环境同时被攻破则存在泄露风险;但在现代 TEE 加持下,该风险被压至极低,并已是 Fireblocks、Coinbase Custody 等机构托管商管理数百亿美元资产的现行方案。它并非临时方案,而是工程成熟、经生产环境验证的方案。 TSS 提供更高一档的安全保证——连“重组瞬间”都不存在;其代价是签名网络的总吞吐量受多轮通信限制、扩展能力存在上限,而预签名(presigning)等技术可将该上限提升至亚秒级延迟、每秒数百次签名的水平。 SSS 与 TSS 并非互斥选择,而是各司其职(5.5 节将详细展开):一个主权 Agent 通常同时采用两种模式
- TSS 用于保护“金库”级别的主账户(大额、低频、高安全要求)
- SSS 用于支撑“运营账户”级别的实例账户(小额、高频、可水平扩展),两种模式在性能与安全特性上的差异恰好对应不同账户层级的需求。
关于托管节点的画像:可问责性比节点数量更重要。由百万个匿名验证者构成的网络并不适合密钥托 节点必须可识别、可承担法律责任、并以商业声誉作为抵押。较为理想的画像是 10–30 个具备公开身份的实体共同托管(DPoS 类架构的核心验证者集与之天然契合)。这种“小集合、高问责”的结构在通用计算语境下常被批评为“去中心化不足”,但在密钥托管语境下恰恰是最优解。
5.2 私钥不可丢失:冗余托管与容错(对应 4.2)
SSS 与 TSS 天然即为容错方案——其“K-of-N”特性意味着只要 N 个节点中至少有 K 个在线,签名即可完成。在 N=21、K=15 的配置下,可容忍 6 个节点同时故障。在此基础上,还需若干工程实践予以补充:
- 节点的地理与运营分散:不同节点应位于不同地区、由不同实体运营、采用不同硬件供应商,以避免相关性故障;
- 节点退出的优雅交接:某节点退出时,须通过重新分享(re-sharing)将分片安全地重新分发给替代节点。这一过程并不改变私钥本身,但会重新生成每一个分片,从而使退出节点手中的旧分片立即作废、无法再用于重组。该机制必须存在且自动化;
- 定期刷新(refresh):即便没有节点变动,分片也应周期性地重新生成并重新分发(同样不改变私钥),以使攻击者长期、逐个搜集旧分片所累积的风险归零。
这些均为已被充分研究、并已在生产环境中运行的成熟工程实践。
5.3 Soul 不可篡改:链上部署(对应 4.3)
这一条件几乎完全由区块链共识机制本身保证。Soul 作为代码部署于链上后,其字节码即受整个链的共识机制保护,任何篡改尝试都须先攻破链本身。这一保障是区块链共识的固有产物。需要注意以下工程细节:
- Soul 不应是“可被代理合约升级”的——这种“可升级合约”模式在以太坊上颇为常见,但它本质上将可篡改性隐藏在一层间接调用之后;主权 Agent 的 Soul 必须真正不可升级,不留任何后门;
- 链原生支持“代码控制账户”将显著简化此事——账户权限可由特定合约的特定函数控制,而权限的修改本身也受合约约束,这种原生权限分级并非所有主流公链都具备;
- Soul 的应急升级机制(用于修复严重缺陷)必须本身写入 Soul,且门槛极高(例如 18/21 节点共识、90 天时间锁、利益相关方可无成本退出),是一种“理论上可升级、实践上几乎不可能”的折中。
5.4 代码运行可验证:TEE 与远程证明(对应 4.4)
这是整个范式中最易受到质疑的环节,因此本节予以展开。针对该环节通常存在三类疑问:SGX 是否已被攻破?硬件厂商是否可能预留后门?相关成本是否过高?以下逐一回应。
TEE 是什么 TEE(可信执行环境)是由 CPU 硬件提供的隔离区。代码在 TEE 中运行时,外部(包括操作系统、虚拟化层与运维人员)均无法读取其内存或窥探其执行过程。TEE 硬件可签发“远程证明”(Remote Attestation, RA)——一段由 CPU 厂商根私钥签名的证书,用以证明“当前机器上运行的代码哈希为 X”。外界获得 RA 后验证两点:签名是否来自合法 CPU 芯片、所声明的代码哈希是否等于链上注册的合法代码哈希;二者匹配,即证明“该机器确实在运行那段不可篡改的合法代码”。 关于安全性。 第一代 TEE 技术(Intel SGX)确曾出现侧信道漏洞,但该代技术已被淘汰。SGX 采用“在普通 CPU 内开辟一块小型飞地”的路线,飞地与外部 CPU 共享缓存与分支预测器,这正是其侧信道攻击的根源。当前主流方案已彻底改变思路:Intel TDX 与 AMD SEV-SNP 采用虚拟机级机密计算,整个虚拟机被加密保护、由 CPU 提供硬件隔离,攻击面较 SGX 的进程级隔离小一个数量级。Intel 已于 2022 年正式将 SGX 在客户端 CPU 上标记为“Deprecated”并主推 TDX;AMD 的 SEV-SNP 在金融云、医疗云与政府云的部署已达数千节点规模。在 GPU 方面,NVIDIA 自 H100 起原生支持机密计算(Confidential Computing);据 NVIDIA 2024 年 6 月的官方实测,H100 在 CC 模式相较非 CC 模式的性能损失,对典型 LLM 推理负载低于 5%,对大模型与长序列场景接近于零;自 H200 起 CC 成为标配,下一代 B200/Blackwell 进一步优化。这些技术已部署于全球银行的隐私交易系统、医院的患者数据处理、政府的密码计算,以及 Meta、Microsoft、Google 的机密 AI 服务之中。AWS Nitro Enclaves、Azure Confidential Computing 与 Google Confidential VMs 均为公开 GA 的成熟产品。它并非实验室技术,而是已支撑数十亿美元业务的工业标准。 关于厂商可信性 这是最深层的疑虑:AMD、Intel、NVIDIA 的根证书一旦泄露,理论上将使所有远程证明失去意义。该风险确实存在,但其经济激励值得分析——主动泄露根证书对厂商而言无异于商业自杀。这些公司的产品被全球金融、医疗与国防系统广泛采用,一旦被证实根证书泄露,市值将蒸发数百亿美元,并面临全球诉讼与国家安全审查;对一家市值数千亿美元的公司而言,泄露的预期损失远超任何配合作恶的潜在收益。即便不完全信任任何单一厂商,仍可通过纵深防御加以应对:
- 多厂商混合托管:同一 Agent 的不同 TEE 节点采用不同厂商,攻破单一厂商尚不足够,必须同时攻破多家;
- 定期 RA 轮换:证明定期更新,任何泄露的根证书都将在短时间内失效;
- 关键决策需跨厂商 RA:大额操作必须由多个不同厂商的 TEE 同时确认;
- 面向未来的零硬件信任路径:FHE(全同态加密)与 ZKML(零知识机器学习)正在快速演进,有望在数年内成熟,它们可消除对硬件根的依赖,是该架构的长期演进方向。
关于经济性 这一点最易被误解。早期 TEE 给人留下“性能差、成本高”的印象,在 SGX 时代确实如此,但当前 TEE 的性能开销已接近于零:AMD SEV-SNP 加密内存的性能开销通常低于 5%,Intel TDX 在多数工作负载下低于 3%,NVIDIA H100 CC 模式对 LLM 推理的开销低于 5%。成本方面,去中心化算力市场已将 H100 的小时价格压至 1.5–2 美元区间,远低于云厂商官方价;一个中等规模的主权 Agent,月度运营成本可能仅为数千美元,对于管理数百万美元资产的 Agent 而言完全可以承受。 结论。 将信任建立在“TEE 加多厂商纵深防御”之上,远比建立在“某个运营团队不会跑路”之上更为坚固。它既不脆弱、也不昂贵、更非科幻,而是已在为全球关键基础设施提供保护的工业标准技术。
5.5 决策可审计:账户分层与签名留痕(对应 4.5)
主权 Agent 的可审计性建立在两层基础之上:账户分层使风险敞口在密码学层面被封顶,签名留痕使所有决策可永久追溯。
5.5.1 账户分层:使额度成为密码学事实
主权 Agent 不应仅持有单一钱包,而应构建为一个分层账户体系,其最自然的形态分为两层。主账户(Treasury)持有 Agent 的全部主要资产,私钥以 TSS 模式由签名网络共同托管,签名走链上挂载——每次均须经过链上提交、延迟窗口、挑战机制与共识仲裁后方可放行,签名昂贵且缓慢,但提供最高级别的安全保证。实例账户(Working Accounts)服务于日常业务运营,私钥以 SSS 模式托管,签名快、可水平扩展,足以支撑机器经济等高频场景,但实例账户中仅持有有限资金。 主账户与实例账户之间的关系由 Soul 中硬编码的规则定义:主账户按既定节奏向实例账户拨款(如“每个实例账户余额低于 X 时自动拨款 Y、每日最多拨款 Z”),拨款本身是主账户的链上交易,须走完整的高规格签名流程;实例账户余额耗尽后,必须等待下一次合规拨款,期间无法签出超额操作。 这一设计的关键之处在于:额度不是软件层面的检查,而是密码学层面的事实。即便某个 Agent 实例的 TEE 被完全攻破、SSS 分片被全部窃取、私钥被攻击者完整重组,攻击者所获也仅是一个实例账户的私钥,而该账户中只有有限资金;主账户中的大额资产完全不在攻击范围之内,因为那把私钥根本无法签署主账户的交易,损失被实例账户的当前余额(加上当日可能拨入的有限增量)所封顶。这与传统企业财务的“金库账户加运营账户”模式同构:CFO 不会让业务部门直接持有公司全部资金,而是为其配置足以支撑日常运营的运营账户;主权 Agent 只是将这套机制从“流程加法律”的层面,升级到“密码学加共识”的层面。 账户体系的具体形态由 Soul 自由配置。主权 Agent 范式仅将“账户必须分层”规定为必要条件,具体分层策略由每个 Agent 的创立者依业务性质决定并写入 Soul,可能的形态包括:
- 每实例独立账户:每个 Agent 实例对应一个独立实例账户,隔离最为彻底,单个实例被攻破仅影响一个账户,适合需要严格隔离的高价值场景;
- 共享实例账户:一组实例(按地理区域、业务功能或负载级别分组)共享一个账户,管理更为简洁,适合机器经济等大规模并发场景,组内分摊风险;
- 多层级账户:主账户向“区域账户”拨款,区域账户再向“实例账户”拨款,每一层都是密码学事实级别的隔离,适合超大规模 Agent。 不同业务的安全权衡各异,该选择由 Agent 创立者负责。
5.5.2 签名留痕:使决策可永久追溯
无论主账户还是实例账户,每次签名都会生成完整的证据记录——待签内容、证据链哈希(输入、Prompt、模型哈希、LLM 输出与 RA 报告的 Merkle 根)、参与签名方及最终签名。这些记录的处理方式与“签名是否上链”无关——签名本身在链下执行,但留痕是必要的:
- 记录本体存储于去中心化存储(Arweave、Filecoin、IPFS)中;
- 节点定期将记录的 Merkle 根批量提交上链;
- 链上仅保存数个字节的哈希,即可锚定千万次签名;
- 任何人事后凭链上 Merkle 根均可独立验证某次签名是否发生、内容为何、由谁参与。 这一设计在机器经济等高频场景下尤为重要。单个 Agent 一天可能签发数十万笔实例账户交易,若强制逐笔单独上链,整个范式的经济性即告崩溃;批量锚定使“可永久审计”与“无吞吐量瓶颈”得以同时成立,这是范式可扩展性的关键所在。主账户的低频大额交易因本就需走链上挂载流程(5.5.1 节所述的延迟窗口),其留痕自然单独上链;实例账户的高频小额交易则走批量锚定。两套留痕机制服务于不同的安全等级,但都提供完整的事后可审计性。 综合而言,任何 Agent 的任何决策都可永久审计:十年之后欲复查某日某笔交易的依据,依然可以——从链上读取证据哈希、从去中心化存储下载本体、验证 Merkle 树根是否匹配,任何一环的造假都会使根哈希无法对应。这意味着存在一种“机构”,其每一项决策都附带完整、不可篡改且可永久查证的证据——这种透明度是传统政府、公司与 NGO 所不具备的。
5.6 持续运行可保障:去中心化基础设施与经济自洽(对应 4.6)
这一条件的解决方案分为三层。
- 物理层面(多实例与去中心化算力):主权 Agent 不绑定单一物理节点,其运行实例可在任意符合要求的 TEE 节点上启动,并在通过 RA 证明合法性后立即开始服务。实例之间相互对等——每个实例独立运行、能完整处理任何业务请求、无需彼此通信,它们从链上读取一致的世界观并独立按 Soul 行动。底层算力来自去中心化算力市场(Akash、Render、io.net 等),不依赖任何单一云厂商,某一区域、某家厂商或某个数据中心的故障都不影响 Agent 整体运行。该架构的附加优势是:单个 Agent 的服务能力随实例数量近乎线性扩展,理论上可服务千万级用户。
- 经济层面(现金流自洽):主权 Agent 必须能以自身业务收入持续覆盖运行成本——一个需要外部持续输血方能存续的 Agent 本质上受制于输血方。其成本主要来自算力费(TEE 节点租用与 LLM 推理)、签名费(共识网络托管)、存储费(去中心化存储),以及必要的合规与审计费;其收入则来自服务收费(用户付费、订阅、API 调用)与自营收益(DeFi 收益、市场套利、知识产权变现)。Agent 创立时须具备足够启动金以覆盖业务尚未起步时的前期成本,但成熟后必须能够自负盈亏(具体财务模型将在下一章展开)。
- 任务执行层面(去中心化任务网络):Agent 常常还需要某一领域的人类专家审核数据、在物理世界完成某项任务、获取某种特殊的链下数据源或某种小众的专业服务。这些资源的获取必须能够通过去中心化的任务市场完成:Agent 在公共任务平台上发布悬赏,全球的人或其他 Agent 投标,Agent 评估后选择并按合约自动支付。此类网络已现雏形——各类基于区块链的任务市场、悬赏平台与 Web3 劳动力市场都在朝此方向演进,而主权 Agent 的繁荣又将反过来推动其走向成熟。 当物理、经济与任务三个层面均得到解决,主权 Agent 才真正具备“独立生存”的能力——它不依赖任何单一供应商、不依赖任何单一资金来源、不依赖任何单一服务方,其存在不取决于任何单一外部参与者的善意。
5.7 工程加固:挑战与升级机制
前六节对应了主权 Agent 的六项必要条件。本节讨论工程实践中的额外加固措施——它们不属于六项必要条件,但任何严肃的部署都应具备。主权 Agent 的可信度不仅在于“自身不作恶”,也在于“即便它判断失误或被诱导,仍存在制衡”。这套制衡机制与 5.5 节的账户分层是叠加关系:账户分层从源头封顶了单个实例可造成的损失,挑战机制则进一步保护主账户级别的关键操作不被滥用。这里设计三类挑战。 前置挑战针对主账户层面的关键操作。主账户的每一笔签名本就走链上挂载流程(5.5.1 节),该流程为前置挑战提供了天然挂载点:当主账户向某个实例账户拨款、向外部转账或修改账户体系结构时,链上合约施加 T+N 延迟窗口(窗口长度由 Soul 依操作类型分级配置),期间任何持挑战权的方均可发起挑战,合约自动暂停签名,并由共识网络结合证据链进行仲裁。由于账户分层已将日常实例账户操作排除在挑战范畴之外,前置挑战仅服务于真正高价值的主账户操作,从而成为低频、高价值、深度审议的过程,而非干扰日常业务流的负担。
事后挑战针对已执行交易被发现异常的情形。挑战者从去中心化存储取出证据本体并提交上链,由共识网络结合证据链进行复核。已执行的交易不会回滚——这是不可逆账本的本质——因此事后挑战的价值不在撤销,也不在惩罚。事实上,在最典型的情形下并不存在一个可归咎的“作恶节点”:异常通常源于 LLM 被诱导或 Skill 存在漏洞,而执行实例已被远程证明确认运行的是合法代码、签名网络也只是按协议完成了签名,两类节点都未违反任何规则。事后挑战的真正价值在于归因与改进:凭借完整的证据链,可以精确定位异常的根因,进而通过升级流程(见下文升级挑战)修补漏洞——例如加固 Skill 的输入校验、更换或重新训练模型、收紧 Soul 的红线——使同类问题不再复发。
升级挑战针对 Skill 升级与 Soul 元规则修改提案,需经沙盒测试、时间锁与利益相关方的否决性挑战;Soul 升级则需更高门槛(更高共识比例、更长时间锁,以及利益相关方在窗口期内可无成本退出)。 整体安全模型由三层叠加构成:账户分层(5.5.1 节)使单个实例的最大可造损失被密码学封顶;前置挑战(本节)使主账户的高价值操作在生效前可被拦截;事后挑战与留痕(5.5.2 节与本节)使任何异常都可被永久追溯、精确归因,并据以修补与改进。这三层与“私钥不可被任何人挪用”属于两套独立保护——前者应对“自己人犯错或被诱导”,后者应对“自己人作恶”(即托管方串通盗用资产,由门限签名与 5.1 节的节点可问责画像共同遏制)——二者叠加,方构成完整的安全模型。
六、经济模型
主权 Agent 是一种新型经济实体,但其财务运作无需另起炉灶——可以借鉴公司的运作方式,区别仅在于将“董事会决议”替换为“代码自动执行”。这一经济模型不应由本文统一规定:每个具体 Agent 的经济规则应由其创立者依据业务性质写入 Soul。以下提供的是一种合理的参考框架,而非强制规范。 Agent 的资金来源 主权 Agent 的资金有三个来源。
- 业务收入(主要来源):通过提供服务收取费用(管理费、订阅费、按次调用费),并通过自主经营产生收益(投资回报、市场套利、知识产权收入);一个成熟的 Agent 应当依靠业务收入持续运营。
- 投资人出资:Agent 创生时或运营过程中接受的外部资金注入。投资人换取的并非股权(Agent 并无“股权”概念),而是按规则获得 Agent 未来收益的“分红权”。
- 业务衍生收益:Agent 所持链上资产产生的投资收益(如 DeFi 收益、质押收益等)。 Agent 的资金支出
参照公司的支出结构,主权 Agent 的支出可分为几类:
- 运营成本:支付给共识网络节点的托管费与签名费、给算力节点的 TEE 运行费、给去中心化存储的费用、调用 LLM 的 API 费等;
- 业务成本:具体业务执行的费用(如金融 Agent 的交易手续费、慈善 Agent 的合作伙伴费用);
- 审计与合规:第三方审计、法律合规等费用;
- 业务再投资:为未来业务发展留存的资金;
- 分红:按规则分配给投资人。
投资人的估值机制 这是该经济模型中最值得关注、也最容易被过度简化的部分。简单地以“投资额 X 美元等于获得 X 倍权重”进行分配并不公平,原因在于:
- Agent 创世时金库为空,第一笔启动金承担最大风险,理应获得最大回报权;
- Agent 已运营一年、金库充实时,新进资金所承担的风险小得多,应只获得相应比例的回报权;
- Agent 出现危机、金库即将耗尽时,“救命资金”再次承担巨大风险,其回报权应相应提升。
这正是传统公司融资的本质:同样 100 万美元,投入估值 100 万的早期公司所换取的股权,与投入估值 1 亿的成熟公司所换取的股权相差百倍,这也是天使投资人收益较 IPO 投资人高出若干数量级的根本原因。主权 Agent 可借鉴这一机制,但须解决一个核心问题:Agent 并无“市场估值”——它不上市、份额不流通、亦无公开的二级市场。
一种简洁的解法是:以 Agent 当前金库总额乘以常数 k 作为其当前估值,k 是 Soul 中硬编码的常数(例如 2 倍)。如此一来:
- Agent 创世时金库为 0、估值为 0,第一笔启动金获得接近全部的初始权益;
- 金库累积至 100 万时估值 200 万,新进 50 万换取约 20% 权益;
- 金库达 1000 万时估值 2000 万,新进 50 万仅换取约 2.4% 权益;
- 金库降至危险水位(如 30 万)时估值 60 万,30 万救援资金换取约 33% 权益。
这一机制使启动资金、常规投资与救援资金各得其位,全程依靠数学规则,无需任何人为分类。 k 值由 Agent 创立者依业务性质设定——稳健业务(如低风险理财)可取较小值(1.5 倍),高成长性业务(如新兴 AI 应用)可取较大值(3 倍或更高)——但一旦写入 Soul 即永久不变,否则将破坏“创世早期投资人享受早期溢价”的承诺。
收益分配 Agent 盈利后的分配同样可参照公司模式,沿业务留存与投资人分红两条线并行进行。每个会计周期(月度或季度),Agent 将净利润按 Soul 写明的比例分配:
- 业务留存:用于业务再投资、运营储备与未来发展,一个保守的范围是 40%–70%;
- 投资人分红:按累计权益比例分配给所有权益持有人;
- 共识网络费用池:用于支付节点托管费。
该比例在 Soul 中硬编码,由 Agent 创立者依业务性质决定。早期 Agent 可能业务留存比例较高(70% 以上)以支持快速成长,成熟 Agent 则可能分红比例较高(50% 以上),更接近稳定回报的“现金奶牛”。 投资人的退出方式
退出问题常被忽略。在传统公司,投资人可通过 IPO、被收购或二级市场转让退出,主权 Agent 则需另作安排。Agent 内部的权益默认不可转让——这是为避免被归类为证券、并防止短期投机操纵价格——但这并不意味着没有退出途径,可参考以下几种现实做法:
- Agent 自身回购:Agent 在金库充裕时主动回购投资人权益(类似公司回购股票),回购价格按当时的“金库总额乘以 k 除以总权益”计算,与新进投资人的换算公式一致,为投资人在 Agent 成功时提供了明确的退出路径;
- 受限转让:经 Agent 自身(依 Soul 规则)批准的 OTC 转让,由两个具体主体相互同意后转让权益,Agent 知晓当前权益人身份,但权益不在公开市场流通;
- 继承性转让:投资人去世时,权益按其指定的继承规则转让——这一条对长期投资人尤为重要,因为主权 Agent 在设计上可以永续存在,投资人可能希望将权益传予后代;
- 强制退出:当重大事件(如 Agent 的 Soul 升级、业务方向变更等)触发时,为所有投资人提供一个无成本退出的窗口,这是保护少数派的标准做法。
小结:一种新型经济实体的现金流
概括而言,主权 Agent 在财务结构上类似于一家公司:它拥有收入、支出、权益持有人、分红、再投资与退出机制。其根本不同在于:所有这些规则并非由董事会决议产生,而是在 Agent 创立时写入 Soul 并由代码自动执行——这一结构中不存在可操纵财务的 CEO、可陷入僵局的股东会,也不存在可被收买的审计方。
这并不意味着人类被排除在外:人类是 Agent 的创立者、投资人、雇员与客户,但人类所参与的是 Agent 创立时的规则设计,而非其日常的财务决策。一旦 Agent 上线,其财务运作即由代码接管,比任何公司、基金或信托都更透明、更自动、更不可腐败。四百年前公司这一组织形态被发明时,依赖大量法律、监管与审计制度方能运作;主权 Agent 则提供了一种无需依赖这些昂贵中介即可运作的新型经济实体,其“公司治理”由密码学与共识机制保证,较任何监管框架都更为坚固。
结语:信任工程的代际跃迁 过去十年,区块链完成了一件根本性的工作:使信任不再依赖于特定的人。这一成果将信任从昂贵的人类协调成本,转变为接近免费的技术服务。但这场变革留下了未竟之处:它所创造的信任是静态的——只能机械执行,无法判断、响应与演化——这使区块链擅长“无需信任的转账”,却极不擅长“需要判断力的业务”,而后者构成了现实经济活动的绝大部分。 主权 Agent 范式补上了缺失的另一半。它保留区块链信任工程的全部进步——不可挪用、不可篡改、可验证——同时赋予其代码所不具备的能力:理解、响应、判断与演化。这并非给区块链叠加 AI,而是将静态的信任升级为有判断力的信任。
在传统金融中,对银行的信任源于牌照与监管;在 DeFi 中,对合约的信任源于代码不可变更;在主权 Agent 范式中,信任的根据则在于——它在数学意义上无法背弃承诺,同时具备为相关方利益服务的判断力。 如果说区块链的第一次革命可以用一句话概括——Code is Law——那么这第二次升级同样可以用一句话概括: From Code is Law to Spirit is Law. 从代码即法律,到精神即法律。
代码捍卫的是规则的字面,精神捍卫的是规则真正意图保护的价值;前者赋予区块链不可背弃的诚实,后者使其能够以判断力将这种诚实善加运用。二者叠加,方为完整的信任。
实现这一范式无需发明新的物理。所有必要的技术拼图——TEE 机密计算、门限签名、远程证明、去中心化算力、去中心化存储——在 2026 年已全部就位,并已成为支撑全球关键基础设施的成熟技术;所欠缺的,仅是将它们组装为一种新形态的经济实体。
四百年前,有限责任公司作为新型经济实体被发明出来,深刻改变了人类组织生产的方式。主权 Agent 可视为下一代经济实体。 它所指向的,并非某一条链的应用、某一个项目的故事或某一个生态的胜利,而是一种新形式的组织、一种新形式的劳动、一种新形式的资本,以及一种新形式的信任。而这一切能否 实现,最终取决于是否存在着手构建它的意愿与行动。