主权 Agent -- From Code is Law to Spirit is Law

maodaishan 发布于 2026-06-06 阅读 230

AI 与 区块链的结合 ->主权Agent

区块链首次将信任的建立成本降至接近于零,但其所提供的信任是静态的。 下一代信任工程的方向,是在保留密码学信任全部优势的前提下,为其注入判断力。

一、智能合约的局限

过去十年间,区块链实现了一项此前从未达成的目标:使信任不再依赖于特定的人或机构。在此之前,信任的维系高度依赖声誉、法律、机构与监管,成本高昂。国际汇款 3%–7% 的手续费、房产过户 5%–10% 的中介成本、衍生品合同动辄数十页的律师审核,本质上都是为建立信任而支付的成本,可称之为“信任税”。 密码学与共识机制将这种成本压缩至接近于零。比特币转账无需银行担保,以太坊合约无需法院强制执行。这是基础设施层面的一次根本性变革。 但这种新型信任存在一项深层局限:它是静态的,不具备判断力。 智能合约不具备判断能力。它能够执行条件分支,却无法区分“正常交易”与“恶意攻击”;它无法主动联网,所有链外信息必须经由预言机注入;它无法依据上下文做出响应——同样一笔百万美元级的转账,对长期客户属于常规操作,对新地址则可能构成异常,而合约无法识别二者的区别;它也无法自我演化,一经部署即被冻结。 法学中有一对沿用数个世纪的概念:法律的字面(Letter of the Law)与法律的精神(Spirit of the Law)。前者指法条的文字表述,后者指立法者意图保护的真实价值。优秀的法官与银行家,其日常工作的本质是依据法律的精神进行判断,而非机械地执行字面规则。 智能合约的根本局限正在于此:它只能捍卫规则的字面,无法捍卫规则的精神。 这一局限导致了 DeFi 领域一个深刻的悖论:攻击行为往往在形式上是“合法的”。当闪电贷攻击者通过一系列语法完全正确的交易抽干资金池时,合约并不会将其识别为“攻击”,它所见到的只是一串符合规范的调用。事件发生后,社区往往就“这究竟是攻击还是合规交易”产生争论,且双方各有依据——因为合约的确是被“合法地”执行的,只是执行结果违背了所有参与者的初衷。 区块链所擅长的是:转账、托管、按既定公式分配资金、按固定规则交易;区块链所不擅长的是:主动风险控制、复杂客户服务、应对未知威胁、跨系统集成。而后一类能力,恰恰构成了现实世界绝大多数经济活动的本质。 由此产生了一个值得注意的现象:协议越复杂、越贴近真实业务,就越需要引入“治理”与“管理员”机制,而这实质上是重新回到了对人的信任。DeFi 借贷协议设有“风险管理 DAO”,CeDeFi 平台依赖“运营团队”,RWA 协议引入“代理人”。每一层治理结构都重新引入了“信任特定主体”的假设,只是在外层包裹了“去中心化”的形式。 这并非个别项目的设计缺陷,而是范式本身的边界所在。当业务复杂度超出纯机械规则的处理能力时,可选路径只有两条:或放弃复杂度以坚持纯合约,或引入人类治理以放弃零信任。整个行业长期被迫在二者之间做出取舍,迄今尚未出现第三种可行路径。

二、主权 Agent 的定义与构成

将上述局限逐一反转,可以勾勒出下一代信任工程所应提供的实体形态:它应如智能合约一般,不可被任何个体单方面控制、核心规则不可篡改、全部行为公开可审计;同时,它又应能够理解上下文、主动联网、服务用户、随环境演化,并与其他实体协作。 概括而言,这一实体应当既无法作恶,又具备判断力——它更接近一位不会背弃承诺的银行家,而非一台仅能依指令执行的自动售货机。本文将这一实体称为主权 Agent。 定义 主权 Agent 是一种运行于去中心化基础设施之上、持有独立私钥、依据链上不可篡改的宪法(Soul)执行决策、并能够持续与外部世界交互的链上实体。它具备以下五项本质属性。

  • 不可挪用:私钥不掌握在任何单一个体或团体手中,而是通过门限签名分布于一个可问责的共识网络之中,任何一方均无法独立签名。
  • 不可篡改(核心层):核心宪法(Soul)部署于链上,永久不可修改;可升级的部分受 Soul 中的元规则约束。
  • 永续运行:不依赖任何单一物理服务器,运行环境可在去中心化算力网络中迁移。
  • 经济自洽:以自身业务收入支付运行成本,盈亏自负。
  • 可验证:每一项决策均附带链上证明,表明该决策由特定 Soul 与特定 Skill 在特定时刻做出、符合宪法的相应条款,任何人均可随时审计。 Soul / Skill / Memory:三层结构 主权 Agent 的内部结构由三层构成。
  1. Soul(灵魂)——永久不可变:包括私钥管理逻辑、资产边界(不可逾越的红线)、行为底线与升级元规则。Soul 是确定性代码,部署于链上且永不改变,其安全性等同于链本身的安全性。Soul 界定“这个 Agent 是谁”。
  2. Skill(技能)——可升级:包括具体业务能力、外部工具调用,以及可选的 LLM 辅助。Skill 通过 Soul 中预定义的升级流程演化,界定“这个 Agent 能做什么”。
  3. Memory(记忆)——流动的状态:包括实时业务状态、历史交易,以及与外界的交互轨迹。其本体存储于去中心化存储中,链上仅保存 Merkle 承诺。Memory 界定“这个 Agent 经历过什么”。 Agent 的“自我同一性”由 Soul 锚定。Skill 持续更新,Memory 不断累积,但只要 Soul 保持不变,该 Agent 的身份即得以延续。这与复杂生命体的同一性原理一致:构成生物体的细胞虽会周期性更替,但其同一性保持稳定。

与“AI Agent”项目的区别 近年来,市场上出现了大量“AI Agent”项目(如 Virtuals、ai16z、Truth Terminal 等)。主权 Agent 与这类项目存在本质区别,主要差异如下表所示。

对比项 市场上的 AI Agent 主权 Agent
私钥 通常由运营团队保管 由共识网络以门限签名托管
核心信任 相信运营方与 AI 不作恶 私钥与资产在密码学上不可被挪用
核心决策 高度依赖 LLM 推理 依赖确定性规则与 Soul 宪法
LLM 角色 包揽一切,含关键决策 仅辅助非关键判断
安全失效模式 LLM 出错即资金损失 损失被账户分层封顶,可追溯改进

三、应用场景

范式的价值需通过具体场景予以检验。以下四类场景展示了该范式落地后所能实现的能力,其共同点在于:均非智能合约所能完成,亦非传统人类组织所能高效胜任,更非不具备主权属性的 AI Agent 所能可信地承担。

3.1 不可腐败的全球公共服务

设想一笔规模为 10 亿美元的全球灾害救助基金。在当前体系下,此类基金通常由联合国机构或国际 NGO 管理。无论这些组织声誉如何,挪用、贪腐与官僚低效在历史上都曾反复出现。审计虽可在事后追责,但救灾延误的代价是生命,事后追责无法挽回。 理论上,可以使用智能合约管理这笔资金。但救灾并非机械流程:受灾地区的判定、灾情严重程度的评估、救助优先级的排序、资金投放路径的合理性,每一项都需要判断。智能合约能够按公式分配资金,却无法区分“某地确实遭遇飓风”与“一份伪造的灾情报告”。 主权 Agent 提供了第三种解决路径。救助 Agent 部署后,其 Soul 明确写入恒定使命:将资金依据受灾严重程度分配给真实受灾地区,且永不流向 Soul 注册的捐助来源之外的任何方向。其 Skill 可联网读取气象警报、新闻报道与卫星图像,对多源数据进行交叉验证,可在多个候选灾区之间进行权衡,并联系当地合作伙伴执行落地;这些能力可通过 Skill 升级持续演化,例如采用更精确的灾情识别模型或更广的合作网络。 而任何试图让 Agent 将资金转向非受灾方的提议——无论提出者是谁,包括其最初的创立者——都将被 Soul 拒绝,因为相关红线已被硬编码于 Soul 之中。 就此而言,这是一种在数学意义上无法腐败的实体:它无需依赖道德自律,其廉洁性由密码学与规则结构保证。捐助者得以首次以接近于零的信任成本,将救助资金托付给一个全球性、全自动且不可腐败的执行主体。 同类场景还包括持续在线的医学诊断服务、自治的国际仲裁机制、跨国奖学金基金、面向人类文明的开源知识库等。它们的共同特征是:对中立性与不可腐败性的要求极高,而任务本身的复杂度又要求具备判断力。此类实体在过去依赖大量法律、监管与机构方能勉强维持,而主权 Agent 提供了一种无需依赖这些昂贵中介的实现方式。

3.2 认知防火墙:比智能合约更具判断力的链上风控

考虑一个管理 5 亿美元 TVL 的 DeFi 借贷协议。当攻击者通过闪电贷构造一系列复杂交易——借出大量资产、操纵预言机价格、在错误价格下贷出超额资产、归还闪电贷——整个过程对智能合约而言“完全合法”。合约所见的只是一串语法正确的调用,无法理解这是一次攻击。 DeFi 历史上数十亿美元的损失大多源于此类机制。事件发生后,社区即便主张“这是攻击而非合规交易”,合约也无法据此回应——交易早已执行完毕。 若引入一个主权 Agent 作为该资金池的“守门人”,情形将发生改变。该 Agent 是资金池的超级签名人之一,任何重大转账均须经其认可方可完成。当一笔可疑交易被发起时,其判断能力随即介入:

  • 分析交易序列的整体形态,判断其属于孤立套利还是有组织的攻击;
  • 检查参与地址的历史记录,识别其过往是否存在异常行为;
  • 评估预言机价格的合理性,核对当前价格与其他独立来源是否一致;
  • 对比同类协议,观察其他借贷协议此刻是否同样出现异常。 若交易模式高度疑似攻击,Agent 将拒绝签名;在更严重的情形下,它可触发熔断机制,暂停资金池的全部大额操作。这正是“法律精神”与“法律字面”之别的体现:智能合约捍卫的是“语法正确性”,主权 Agent 捍卫的是“行为合理性”,后者覆盖了前者无法覆盖的整个攻击面。 值得强调的是,这种保护并不依赖 Agent 判断的绝对准确。即使其判断模型偶尔将正常交易误判为攻击,最坏的结果也仅是用户需额外等待一个挑战期,而非资金损失,其失败模式是温和且可控的。 该场景的意义不止于防御攻击,它代表了一项更深层的转变:区块链协议首次具备了“自我保护”能力。此前所有协议均处于被动地位——攻击者始终先手,防御方只能事后修补;主权 Agent 使防御转变为主动的、具备判断力的、可随环境演化的过程。这一能力可推广至任何高价值的链上系统,跨链桥、DEX、衍生品协议等所有处于“被动等待攻击”状态的基础设施,均可在其前端增设一层具备判断能力的守门机制。

3.3 高频微观的机器经济

设想一家气象 AI 服务商,每秒生成数百份面向不同行业、不同地区的微观天气预测。在当前条件下,这类数据的处置方式十分受限:或免费公开而无法商业化,或打包出售给少数大客户而无法触及长尾需求。然而真实需求是高度碎片化的:

  • 农业 Agent 愿为“未来 6 小时内蒙特利尔的降雨概率”支付 0.001 美元;
  • 物流 Agent 愿为“特定港口未来 24 小时的风浪预测”支付 0.005 美元;
  • 能源交易 Agent 愿为“德国南部未来 1 小时的太阳辐射强度”支付 0.01 美元。 此类交易在当前体系下无法被任何一类参与者有效承载:
  • 人类无法参与:单笔金额过小,逐笔签订合约在经济上不成立;
  • 智能合约无法承载:每秒数百笔条件各异的微交易,超出链的吞吐能力;
  • 中心化平台扭曲价值:30% 量级的抽成将使大部分微交易在经济上不可行。

主权 Agent 提供了一种新的解决方案。气象服务方部署一个销售 Agent,农业、物流、能源等行业分别部署各自的采购 Agent,这些 Agent 之间通过链下高速通道直接谈判、定价与交易,每笔交易的承诺定期批量上链结算——以链上承诺保证不可抵赖,而无需逐笔上链。该市场具有以下特点:

  • 全天候自动运行,无需人类介入;
  • 价格高度细分,每个数据点匹配最合适的买家;
  • 抽成接近于零,因为 Agent 无需追求利润,仅需覆盖运营成本;、
  • 吞吐量近乎无限,因为每个 Agent 均可横向扩展实例。

这构成了机器对机器(M2M)经济的真正形态。其总量有望远超当前电商与广告产业的总和,因为它涵盖了一切因过于细碎而无法由人类处理的微观价值交换。而唯有主权 Agent 能够承载这一形态:智能合约过慢、过贵且过于僵化;人类响应慢、成本高且注意力有限;不具备主权属性的 AI Agent 一旦运营方作恶,整个市场即告崩溃。只有同时满足“高速、具备判断力、无法作恶、可规模化”四项条件的实体,才能成为此类经济的基础设施。 这一形态并非空想,其雏形已经显现:LLM API 已采用按 token 计费的微交易模式,AI 工具市场亦已按调用次数计费。主权 Agent 将这一趋势推向极致——未来人类经济的相当一部分,将发生在不易被直接观察到的、Agent 之间的高频微交易之中。

3.4 跨物种协作的资本管理者

这是其中最具颠覆性的一类场景。在当前格局中,资本与劳动的关系是固定的:人类持有资本(公司、基金、个人财富),并雇佣其他人类提供劳动,AI 则作为被使用的工具存在。主权 Agent 首次使这一关系发生翻转。 一个管理 1 亿美元资产的 DeFi 投资 Agent 发现其策略代码存在潜在漏洞,并据此判断需要雇佣人力修复。它在去中心化任务平台上发布悬赏:“修复以下漏洞,验证通过后自动支付 5000 USDC。”三名匿名开发者投标,Agent 评估各方案后选择最优者,并自动从金库支付。又如,一个管理医学数据库的 Agent 需要人类专家审核数据,遂发布任务:“审核 1000 条心脏病学条目,每条 2 USDC”,全球医生利用业余时间接单;再如,一个管理跨国资产的 Agent 需要在某国进行线下尽职调查,便雇佣当地会计师事务所拍摄视频、提交文件,并根据交付物自动付款。 这一关系翻转的意义远超其表象。它意味着资本不再必须由人类家族、机构或基金管理,而可以交由不可腐败的 Agent 管理,并依据 Soul 中固化的规则进行配置。在这一图景中,人类的角色不再是“受雇于公司”,而是作为物理世界中的执行与创造主体,为网络上数以千计、各自持有资金池的 Agent 提供服务。 这从根本上动摇了“公司”这一组织形态。公司之所以存续四百年,是因为雇主与雇员之间的信任、合同、产权与监督需要昂贵的制度来维系。当雇主转变为一个不会背弃承诺、依代码自动付款、可零成本验证交付的 Agent 时,传统公司的存在理由将被显著削弱。 这并非对人类的威胁,而是对人类的一种解放。它使人类得以摆脱“为维持生存而必须依附于某一组织”的处境,转变为可同时服务于多个 Agent 雇主的独立创造者。人类所提供的是判断力、创造力与物理世界的执行力,而这些恰是 Agent 最为欠缺的能力,两类主体各展所长,形成互补协作。 这构成了数字时代“跨物种经济共同体”的雏形。在这一共同体中,资本的归属不再取决于继承、收购或运气,而取决于谁能创立出最具实用价值、最受信任的 Agent。任何有能力设计出优良 Soul 与 Skill 的人,都可以创建一个 Agent,使其为社会提供价值,并从其成功中分享收益——这或许是软件工程师所能从事的、最具创造性意义的工作之一。

3.5 四类场景共享的两项能力

上述四个场景表面差异显著,但均隐含两项共同能力,而这两项能力在当前讨论中常被低估。 第一项能力:单个 Agent 可同时服务上亿用户。 智能合约的服务能力受限于其部署链的 TPS——以太坊全网每秒约 15 笔交易,构成整个生态的硬性上限,任何意图服务千万级用户的智能合约协议都将受制于此。主权 Agent 则不受此约束:其“灵魂”(Soul、私钥与最终决策权)位于链上,而其“化身”(执行实例)可在链下扩展至任意数量。这些化身之间既不相互通信、也不在彼此之间达成共识——每个实例独立运行于不同的 TEE 节点之上,从链上读取同一份世界观,再独立按 Soul 的规则行动。正因为实例之间不存在协调与共识开销,新增一个实例几乎不带来额外成本,整体服务能力随实例数量近乎线性增长,从而可横向扩展至近乎无限的规模。由此,前述四类场景中的单个 Agent 都可同时服务上亿用户:这在智能合约范式下无法实现,在主权 Agent 范式下却是自然的结果。 第二项能力:单个 Agent 可超越任何单一区块链,乃至超越区块链本身。 主权 Agent 的私钥由共识网络托管,但这把私钥可签署任何链的交易——ETH、BTC、Solana、Aptos,以及任何采用标准椭圆曲线签名的链。一个 Agent 在某条链上“出生”(注册身份、托管私钥),但其业务可发生于任意其他链上。 进一步地,Agent 的业务可以完全不涉及区块链:它可以在传统数据库中维护客户数据、经由传统支付通道收款、与传统 SaaS 协作,其“链上”部分仅为身份与私钥托管,业务发生于完全的 Web2 世界。在极端情形下,一个主权 Agent 可以完全不与任何区块链交互:其私钥由分布式共识网络托管、运行于去中心化算力之上,而全部活动都在传统互联网中进行,例如运营一个匿名作家社区、管理一只研究基金,或为全球儿童提供免费教育服务。这类 Agent 借用了去中心化共识的密钥托管能力,但其本身并非任何链上的 DApp。 两项能力结合在一起,意味着主权 Agent 范式的疆域远比“区块链生态”广阔。它指向一种全新的实体类型——既非公司、亦非协议、也非政府——能够承担传统组织、传统软件与传统机构的大部分功能,同时具备它们所不具备的属性:不可腐败、不可关停、可永续运行、可全球服务。四百年前,有限责任公司作为新型经济实体被发明出来,深刻改变了人类组织生产的方式。主权 Agent 可视为下一代经济实体。

四、主权 Agent 的必要条件

前文界定了主权 Agent 的定义及其能力。本章进一步追问一个更基础的问题:一个实体要被称为“主权 Agent”,在概念上必须满足哪些条件? 本章不涉及技术实现,仅讨论“主权”一词的内在要求,具体技术方案将在下一章展开。将“主权”这一概念贯彻到底,对于一个非人类实体而言,可归纳为六项不可妥协的要求。

4.1 私钥不可被任何单一方控制

这是“主权”的核心。如果任何个体或团体能够单独签字、单独转移资产、单独执行命令,那么该实体便不具备主权,而是某一个体或团体的工具。主权 Agent 的私钥必须由一组互不串通的方共同控制,任何一方单独均无法签名。这不仅是安全要求,更是“主权”的定义所在——一个由 CEO 持有私钥的 AI Agent,无论其代码多么不可篡改,本质上都是该 CEO 意志的延伸。

4.2 私钥不可丢失

主权的另一面是持久性。如果私钥可能丢失——例如某个托管节点宕机即导致 Agent 永久无法签字——那么 Agent 可能突然“意外死亡”,其持有的资产也可能被永久冻结。一个能被基础设施故障消灭的实体,其主权是不完整的。因此,托管私钥的网络必须具备容错能力:少数节点的故障、退出或被攻击,都不应使 Agent 丧失签名能力。

4.3 核心规则(Soul)不可篡改

如果 Soul 可被任意修改,那么“Agent 按 Soul 行动”这一承诺即告崩溃,整套“不可作恶”的保证也随之失去意义——今日写明“绝不向白名单外转账”的 Soul,明日若可被改为“任意转账”,则与没有 Soul 无异。Soul 一经部署即须永远不变;Skill 可以升级,但升级流程本身必须受 Soul 中预定义的元规则约束,不能脱离 Soul 的轨道。

4.4 代码运行可验证

Soul 不可篡改是一回事,当前实际运行的确为这份 Soul 则是另一回事。如果攻击者能让 Agent 实例运行一份“看似 Soul、实则已被替换的代码”,那么 Soul 的不可篡改性也将形同虚设。因此,必须存在某种在密码学层面证明“当前运行的实例确实运行着那份已注册、不可篡改的代码”的机制;该证明不应依赖 Agent 自身的声明,而应由其无法操控的更底层硬件或协议给出。

4.5 决策可审计

主权 Agent 必须能够向外界证明其未曾作恶。仅“不作恶”并不充分:若 Agent 表现良好但外界无法验证,用户仍须依赖“信任”来相信它,这等于退回到“信任运营方”的旧路。主权 Agent 的承诺必须是可验证的不作恶,而非仅被声称的不作恶。这意味着每一项决策都应附带可审计的证据——基于何种输入、依据何种规则、做出何种判断——且这些证据应能被任何第三方独立查证。

4.6 持续运行可保障

这一条件最为复杂,涉及三个层面。

  • 物理层面:Agent 不能依赖任何单一物理节点;若一个数据中心断电即使 Agent 停摆,它便是被该数据中心所掌握的实体,因此运行环境必须能在多个去中心化算力节点之间无缝切换。
  • 经济层面:Agent 必须能够为自身的持续运行支付成本,算力费、签名费与存储费等均须由其业务现金流持续覆盖;一个需要“外部输血”方能存续的 Agent,本质上受制于输血方。
  • 任务执行层面:Agent 做事不能仅靠自身,它需要算力、存储、外部数据,有时还需要人类劳动,而所有这些资源的获取都必须能够通过去中心化的市场或网络完成,而非依赖某家中心化供应商——若 Agent 的算力只能从某家云厂商购买,那么该厂商一旦封禁账户,Agent 即告消亡,这便不是主权。

三个层面合起来,构成“持续运行”的完整含义:一个主权 Agent 必须在物理上不可被关停、在经济上能够自养、在任务上能够自主完成。 上述六项要求共同界定了主权 Agent 的概念边界,任何未能满足其中任一条件的“AI Agent”都不应被称为主权 Agent。需要注意的是,这六项要求均未涉及 TPS、Gas 费用、节点数量等工程参数:它们是概念层面的必要条件,而非工程偏好。一个运行于比特币等低吞吐链上的实体,只要满足这六项条件,同样属于主权 Agent,只是在性能与成本上可能处于劣势——换言之,性能影响的是“是否好用”,而不影响“是否成立”。下一章将讨论:要使这六项条件同时成立,现有技术提供了哪些可行方案。

五、技术实现

上一章给出了主权 Agent 的六项必要条件,本章逐条对应其技术解决方案。值得强调的是,这些条件中没有任何一条需要尚未发明的技术:全部解决方案均为已在生产环境中运行多年、并已支撑数十亿美元规模业务的工业标准。本章的目的不在于展示技术新颖性,而在于论证该方案在工程上可行、在经济上可承受。

5.1 私钥不可被单一方控制:门限签名与秘密分享(对应 4.1)

成熟的密码学技术早已解决“多方共同控制单一私钥”的问题,主流方案有两种。

  • 秘密分享(SSS):私钥被切分为 N 个分片并分发给 N 个节点;签名时,至少 K 个节点将分片送回可信环境,重组出完整私钥进行签名,随后立即清除。
  • 门限签名(TSS):私钥从不以完整形态存在;签名时,至少 K 个节点协作运行密码学协议,经多轮通信协同生成签名,完整私钥在从生成到使用的全生命周期中都不存在于任何单点。

两者均可实现“任何单一方都无法独立签名”,但特性有所不同。SSS 实现简单、签名快,且签名吞吐可水平扩展——这里的扩展指可并行运行更多签名实例以提升整体吞吐,而非增加托管分片的节点数量(后者反而会拖慢重组)。其代价是存在一个理论上的“私钥重组瞬间”——签名时私钥短暂存在于可信环境中,若可信环境同时被攻破则存在泄露风险;但在现代 TEE 加持下,该风险被压至极低,并已是 Fireblocks、Coinbase Custody 等机构托管商管理数百亿美元资产的现行方案。它并非临时方案,而是工程成熟、经生产环境验证的方案。 TSS 提供更高一档的安全保证——连“重组瞬间”都不存在;其代价是签名网络的总吞吐量受多轮通信限制、扩展能力存在上限,而预签名(presigning)等技术可将该上限提升至亚秒级延迟、每秒数百次签名的水平。 SSS 与 TSS 并非互斥选择,而是各司其职(5.5 节将详细展开):一个主权 Agent 通常同时采用两种模式

  • TSS 用于保护“金库”级别的主账户(大额、低频、高安全要求)
  • SSS 用于支撑“运营账户”级别的实例账户(小额、高频、可水平扩展),两种模式在性能与安全特性上的差异恰好对应不同账户层级的需求。

关于托管节点的画像:可问责性比节点数量更重要。由百万个匿名验证者构成的网络并不适合密钥托 节点必须可识别、可承担法律责任、并以商业声誉作为抵押。较为理想的画像是 10–30 个具备公开身份的实体共同托管(DPoS 类架构的核心验证者集与之天然契合)。这种“小集合、高问责”的结构在通用计算语境下常被批评为“去中心化不足”,但在密钥托管语境下恰恰是最优解。

5.2 私钥不可丢失:冗余托管与容错(对应 4.2)

SSS 与 TSS 天然即为容错方案——其“K-of-N”特性意味着只要 N 个节点中至少有 K 个在线,签名即可完成。在 N=21、K=15 的配置下,可容忍 6 个节点同时故障。在此基础上,还需若干工程实践予以补充:

  • 节点的地理与运营分散:不同节点应位于不同地区、由不同实体运营、采用不同硬件供应商,以避免相关性故障;
  • 节点退出的优雅交接:某节点退出时,须通过重新分享(re-sharing)将分片安全地重新分发给替代节点。这一过程并不改变私钥本身,但会重新生成每一个分片,从而使退出节点手中的旧分片立即作废、无法再用于重组。该机制必须存在且自动化;
  • 定期刷新(refresh):即便没有节点变动,分片也应周期性地重新生成并重新分发(同样不改变私钥),以使攻击者长期、逐个搜集旧分片所累积的风险归零。

这些均为已被充分研究、并已在生产环境中运行的成熟工程实践。

5.3 Soul 不可篡改:链上部署(对应 4.3)

这一条件几乎完全由区块链共识机制本身保证。Soul 作为代码部署于链上后,其字节码即受整个链的共识机制保护,任何篡改尝试都须先攻破链本身。这一保障是区块链共识的固有产物。需要注意以下工程细节:

  • Soul 不应是“可被代理合约升级”的——这种“可升级合约”模式在以太坊上颇为常见,但它本质上将可篡改性隐藏在一层间接调用之后;主权 Agent 的 Soul 必须真正不可升级,不留任何后门;
  • 链原生支持“代码控制账户”将显著简化此事——账户权限可由特定合约的特定函数控制,而权限的修改本身也受合约约束,这种原生权限分级并非所有主流公链都具备;
  • Soul 的应急升级机制(用于修复严重缺陷)必须本身写入 Soul,且门槛极高(例如 18/21 节点共识、90 天时间锁、利益相关方可无成本退出),是一种“理论上可升级、实践上几乎不可能”的折中。

5.4 代码运行可验证:TEE 与远程证明(对应 4.4)

这是整个范式中最易受到质疑的环节,因此本节予以展开。针对该环节通常存在三类疑问:SGX 是否已被攻破?硬件厂商是否可能预留后门?相关成本是否过高?以下逐一回应。

TEE 是什么 TEE(可信执行环境)是由 CPU 硬件提供的隔离区。代码在 TEE 中运行时,外部(包括操作系统、虚拟化层与运维人员)均无法读取其内存或窥探其执行过程。TEE 硬件可签发“远程证明”(Remote Attestation, RA)——一段由 CPU 厂商根私钥签名的证书,用以证明“当前机器上运行的代码哈希为 X”。外界获得 RA 后验证两点:签名是否来自合法 CPU 芯片、所声明的代码哈希是否等于链上注册的合法代码哈希;二者匹配,即证明“该机器确实在运行那段不可篡改的合法代码”。 关于安全性。 第一代 TEE 技术(Intel SGX)确曾出现侧信道漏洞,但该代技术已被淘汰。SGX 采用“在普通 CPU 内开辟一块小型飞地”的路线,飞地与外部 CPU 共享缓存与分支预测器,这正是其侧信道攻击的根源。当前主流方案已彻底改变思路:Intel TDX 与 AMD SEV-SNP 采用虚拟机级机密计算,整个虚拟机被加密保护、由 CPU 提供硬件隔离,攻击面较 SGX 的进程级隔离小一个数量级。Intel 已于 2022 年正式将 SGX 在客户端 CPU 上标记为“Deprecated”并主推 TDX;AMD 的 SEV-SNP 在金融云、医疗云与政府云的部署已达数千节点规模。在 GPU 方面,NVIDIA 自 H100 起原生支持机密计算(Confidential Computing);据 NVIDIA 2024 年 6 月的官方实测,H100 在 CC 模式相较非 CC 模式的性能损失,对典型 LLM 推理负载低于 5%,对大模型与长序列场景接近于零;自 H200 起 CC 成为标配,下一代 B200/Blackwell 进一步优化。这些技术已部署于全球银行的隐私交易系统、医院的患者数据处理、政府的密码计算,以及 Meta、Microsoft、Google 的机密 AI 服务之中。AWS Nitro Enclaves、Azure Confidential Computing 与 Google Confidential VMs 均为公开 GA 的成熟产品。它并非实验室技术,而是已支撑数十亿美元业务的工业标准。 关于厂商可信性 这是最深层的疑虑:AMD、Intel、NVIDIA 的根证书一旦泄露,理论上将使所有远程证明失去意义。该风险确实存在,但其经济激励值得分析——主动泄露根证书对厂商而言无异于商业自杀。这些公司的产品被全球金融、医疗与国防系统广泛采用,一旦被证实根证书泄露,市值将蒸发数百亿美元,并面临全球诉讼与国家安全审查;对一家市值数千亿美元的公司而言,泄露的预期损失远超任何配合作恶的潜在收益。即便不完全信任任何单一厂商,仍可通过纵深防御加以应对:

  • 多厂商混合托管:同一 Agent 的不同 TEE 节点采用不同厂商,攻破单一厂商尚不足够,必须同时攻破多家;
  • 定期 RA 轮换:证明定期更新,任何泄露的根证书都将在短时间内失效;
  • 关键决策需跨厂商 RA:大额操作必须由多个不同厂商的 TEE 同时确认;
  • 面向未来的零硬件信任路径:FHE(全同态加密)与 ZKML(零知识机器学习)正在快速演进,有望在数年内成熟,它们可消除对硬件根的依赖,是该架构的长期演进方向。

关于经济性 这一点最易被误解。早期 TEE 给人留下“性能差、成本高”的印象,在 SGX 时代确实如此,但当前 TEE 的性能开销已接近于零:AMD SEV-SNP 加密内存的性能开销通常低于 5%,Intel TDX 在多数工作负载下低于 3%,NVIDIA H100 CC 模式对 LLM 推理的开销低于 5%。成本方面,去中心化算力市场已将 H100 的小时价格压至 1.5–2 美元区间,远低于云厂商官方价;一个中等规模的主权 Agent,月度运营成本可能仅为数千美元,对于管理数百万美元资产的 Agent 而言完全可以承受。 结论。 将信任建立在“TEE 加多厂商纵深防御”之上,远比建立在“某个运营团队不会跑路”之上更为坚固。它既不脆弱、也不昂贵、更非科幻,而是已在为全球关键基础设施提供保护的工业标准技术。

5.5 决策可审计:账户分层与签名留痕(对应 4.5)

主权 Agent 的可审计性建立在两层基础之上:账户分层使风险敞口在密码学层面被封顶,签名留痕使所有决策可永久追溯。

5.5.1 账户分层:使额度成为密码学事实

主权 Agent 不应仅持有单一钱包,而应构建为一个分层账户体系,其最自然的形态分为两层。主账户(Treasury)持有 Agent 的全部主要资产,私钥以 TSS 模式由签名网络共同托管,签名走链上挂载——每次均须经过链上提交、延迟窗口、挑战机制与共识仲裁后方可放行,签名昂贵且缓慢,但提供最高级别的安全保证。实例账户(Working Accounts)服务于日常业务运营,私钥以 SSS 模式托管,签名快、可水平扩展,足以支撑机器经济等高频场景,但实例账户中仅持有有限资金。 主账户与实例账户之间的关系由 Soul 中硬编码的规则定义:主账户按既定节奏向实例账户拨款(如“每个实例账户余额低于 X 时自动拨款 Y、每日最多拨款 Z”),拨款本身是主账户的链上交易,须走完整的高规格签名流程;实例账户余额耗尽后,必须等待下一次合规拨款,期间无法签出超额操作。 这一设计的关键之处在于:额度不是软件层面的检查,而是密码学层面的事实。即便某个 Agent 实例的 TEE 被完全攻破、SSS 分片被全部窃取、私钥被攻击者完整重组,攻击者所获也仅是一个实例账户的私钥,而该账户中只有有限资金;主账户中的大额资产完全不在攻击范围之内,因为那把私钥根本无法签署主账户的交易,损失被实例账户的当前余额(加上当日可能拨入的有限增量)所封顶。这与传统企业财务的“金库账户加运营账户”模式同构:CFO 不会让业务部门直接持有公司全部资金,而是为其配置足以支撑日常运营的运营账户;主权 Agent 只是将这套机制从“流程加法律”的层面,升级到“密码学加共识”的层面。 账户体系的具体形态由 Soul 自由配置。主权 Agent 范式仅将“账户必须分层”规定为必要条件,具体分层策略由每个 Agent 的创立者依业务性质决定并写入 Soul,可能的形态包括:

  • 每实例独立账户:每个 Agent 实例对应一个独立实例账户,隔离最为彻底,单个实例被攻破仅影响一个账户,适合需要严格隔离的高价值场景;
  • 共享实例账户:一组实例(按地理区域、业务功能或负载级别分组)共享一个账户,管理更为简洁,适合机器经济等大规模并发场景,组内分摊风险;
  • 多层级账户:主账户向“区域账户”拨款,区域账户再向“实例账户”拨款,每一层都是密码学事实级别的隔离,适合超大规模 Agent。 不同业务的安全权衡各异,该选择由 Agent 创立者负责。

5.5.2 签名留痕:使决策可永久追溯

无论主账户还是实例账户,每次签名都会生成完整的证据记录——待签内容、证据链哈希(输入、Prompt、模型哈希、LLM 输出与 RA 报告的 Merkle 根)、参与签名方及最终签名。这些记录的处理方式与“签名是否上链”无关——签名本身在链下执行,但留痕是必要的:

  • 记录本体存储于去中心化存储(Arweave、Filecoin、IPFS)中;
  • 节点定期将记录的 Merkle 根批量提交上链;
  • 链上仅保存数个字节的哈希,即可锚定千万次签名;
  • 任何人事后凭链上 Merkle 根均可独立验证某次签名是否发生、内容为何、由谁参与。 这一设计在机器经济等高频场景下尤为重要。单个 Agent 一天可能签发数十万笔实例账户交易,若强制逐笔单独上链,整个范式的经济性即告崩溃;批量锚定使“可永久审计”与“无吞吐量瓶颈”得以同时成立,这是范式可扩展性的关键所在。主账户的低频大额交易因本就需走链上挂载流程(5.5.1 节所述的延迟窗口),其留痕自然单独上链;实例账户的高频小额交易则走批量锚定。两套留痕机制服务于不同的安全等级,但都提供完整的事后可审计性。 综合而言,任何 Agent 的任何决策都可永久审计:十年之后欲复查某日某笔交易的依据,依然可以——从链上读取证据哈希、从去中心化存储下载本体、验证 Merkle 树根是否匹配,任何一环的造假都会使根哈希无法对应。这意味着存在一种“机构”,其每一项决策都附带完整、不可篡改且可永久查证的证据——这种透明度是传统政府、公司与 NGO 所不具备的。

5.6 持续运行可保障:去中心化基础设施与经济自洽(对应 4.6)

这一条件的解决方案分为三层。

  • 物理层面(多实例与去中心化算力):主权 Agent 不绑定单一物理节点,其运行实例可在任意符合要求的 TEE 节点上启动,并在通过 RA 证明合法性后立即开始服务。实例之间相互对等——每个实例独立运行、能完整处理任何业务请求、无需彼此通信,它们从链上读取一致的世界观并独立按 Soul 行动。底层算力来自去中心化算力市场(Akash、Render、io.net 等),不依赖任何单一云厂商,某一区域、某家厂商或某个数据中心的故障都不影响 Agent 整体运行。该架构的附加优势是:单个 Agent 的服务能力随实例数量近乎线性扩展,理论上可服务千万级用户。
  • 经济层面(现金流自洽):主权 Agent 必须能以自身业务收入持续覆盖运行成本——一个需要外部持续输血方能存续的 Agent 本质上受制于输血方。其成本主要来自算力费(TEE 节点租用与 LLM 推理)、签名费(共识网络托管)、存储费(去中心化存储),以及必要的合规与审计费;其收入则来自服务收费(用户付费、订阅、API 调用)与自营收益(DeFi 收益、市场套利、知识产权变现)。Agent 创立时须具备足够启动金以覆盖业务尚未起步时的前期成本,但成熟后必须能够自负盈亏(具体财务模型将在下一章展开)。
  • 任务执行层面(去中心化任务网络):Agent 常常还需要某一领域的人类专家审核数据、在物理世界完成某项任务、获取某种特殊的链下数据源或某种小众的专业服务。这些资源的获取必须能够通过去中心化的任务市场完成:Agent 在公共任务平台上发布悬赏,全球的人或其他 Agent 投标,Agent 评估后选择并按合约自动支付。此类网络已现雏形——各类基于区块链的任务市场、悬赏平台与 Web3 劳动力市场都在朝此方向演进,而主权 Agent 的繁荣又将反过来推动其走向成熟。 当物理、经济与任务三个层面均得到解决,主权 Agent 才真正具备“独立生存”的能力——它不依赖任何单一供应商、不依赖任何单一资金来源、不依赖任何单一服务方,其存在不取决于任何单一外部参与者的善意。

5.7 工程加固:挑战与升级机制

前六节对应了主权 Agent 的六项必要条件。本节讨论工程实践中的额外加固措施——它们不属于六项必要条件,但任何严肃的部署都应具备。主权 Agent 的可信度不仅在于“自身不作恶”,也在于“即便它判断失误或被诱导,仍存在制衡”。这套制衡机制与 5.5 节的账户分层是叠加关系:账户分层从源头封顶了单个实例可造成的损失,挑战机制则进一步保护主账户级别的关键操作不被滥用。这里设计三类挑战。 前置挑战针对主账户层面的关键操作。主账户的每一笔签名本就走链上挂载流程(5.5.1 节),该流程为前置挑战提供了天然挂载点:当主账户向某个实例账户拨款、向外部转账或修改账户体系结构时,链上合约施加 T+N 延迟窗口(窗口长度由 Soul 依操作类型分级配置),期间任何持挑战权的方均可发起挑战,合约自动暂停签名,并由共识网络结合证据链进行仲裁。由于账户分层已将日常实例账户操作排除在挑战范畴之外,前置挑战仅服务于真正高价值的主账户操作,从而成为低频、高价值、深度审议的过程,而非干扰日常业务流的负担。

事后挑战针对已执行交易被发现异常的情形。挑战者从去中心化存储取出证据本体并提交上链,由共识网络结合证据链进行复核。已执行的交易不会回滚——这是不可逆账本的本质——因此事后挑战的价值不在撤销,也不在惩罚。事实上,在最典型的情形下并不存在一个可归咎的“作恶节点”:异常通常源于 LLM 被诱导或 Skill 存在漏洞,而执行实例已被远程证明确认运行的是合法代码、签名网络也只是按协议完成了签名,两类节点都未违反任何规则。事后挑战的真正价值在于归因与改进:凭借完整的证据链,可以精确定位异常的根因,进而通过升级流程(见下文升级挑战)修补漏洞——例如加固 Skill 的输入校验、更换或重新训练模型、收紧 Soul 的红线——使同类问题不再复发。

升级挑战针对 Skill 升级与 Soul 元规则修改提案,需经沙盒测试、时间锁与利益相关方的否决性挑战;Soul 升级则需更高门槛(更高共识比例、更长时间锁,以及利益相关方在窗口期内可无成本退出)。 整体安全模型由三层叠加构成:账户分层(5.5.1 节)使单个实例的最大可造损失被密码学封顶;前置挑战(本节)使主账户的高价值操作在生效前可被拦截;事后挑战与留痕(5.5.2 节与本节)使任何异常都可被永久追溯、精确归因,并据以修补与改进。这三层与“私钥不可被任何人挪用”属于两套独立保护——前者应对“自己人犯错或被诱导”,后者应对“自己人作恶”(即托管方串通盗用资产,由门限签名与 5.1 节的节点可问责画像共同遏制)——二者叠加,方构成完整的安全模型。

六、经济模型

主权 Agent 是一种新型经济实体,但其财务运作无需另起炉灶——可以借鉴公司的运作方式,区别仅在于将“董事会决议”替换为“代码自动执行”。这一经济模型不应由本文统一规定:每个具体 Agent 的经济规则应由其创立者依据业务性质写入 Soul。以下提供的是一种合理的参考框架,而非强制规范。 Agent 的资金来源 主权 Agent 的资金有三个来源。

  • 业务收入(主要来源):通过提供服务收取费用(管理费、订阅费、按次调用费),并通过自主经营产生收益(投资回报、市场套利、知识产权收入);一个成熟的 Agent 应当依靠业务收入持续运营。
  • 投资人出资:Agent 创生时或运营过程中接受的外部资金注入。投资人换取的并非股权(Agent 并无“股权”概念),而是按规则获得 Agent 未来收益的“分红权”。
  • 业务衍生收益:Agent 所持链上资产产生的投资收益(如 DeFi 收益、质押收益等)。 Agent 的资金支出

参照公司的支出结构,主权 Agent 的支出可分为几类

  • 运营成本:支付给共识网络节点的托管费与签名费、给算力节点的 TEE 运行费、给去中心化存储的费用、调用 LLM 的 API 费等;
  • 业务成本:具体业务执行的费用(如金融 Agent 的交易手续费、慈善 Agent 的合作伙伴费用);
  • 审计与合规:第三方审计、法律合规等费用;
  • 业务再投资:为未来业务发展留存的资金;
  • 分红:按规则分配给投资人。

投资人的估值机制 这是该经济模型中最值得关注、也最容易被过度简化的部分。简单地以“投资额 X 美元等于获得 X 倍权重”进行分配并不公平,原因在于:

  • Agent 创世时金库为空,第一笔启动金承担最大风险,理应获得最大回报权;
  • Agent 已运营一年、金库充实时,新进资金所承担的风险小得多,应只获得相应比例的回报权;
  • Agent 出现危机、金库即将耗尽时,“救命资金”再次承担巨大风险,其回报权应相应提升。

这正是传统公司融资的本质:同样 100 万美元,投入估值 100 万的早期公司所换取的股权,与投入估值 1 亿的成熟公司所换取的股权相差百倍,这也是天使投资人收益较 IPO 投资人高出若干数量级的根本原因。主权 Agent 可借鉴这一机制,但须解决一个核心问题:Agent 并无“市场估值”——它不上市、份额不流通、亦无公开的二级市场。

一种简洁的解法是:以 Agent 当前金库总额乘以常数 k 作为其当前估值,k 是 Soul 中硬编码的常数(例如 2 倍)。如此一来:

  • Agent 创世时金库为 0、估值为 0,第一笔启动金获得接近全部的初始权益;
  • 金库累积至 100 万时估值 200 万,新进 50 万换取约 20% 权益;
  • 金库达 1000 万时估值 2000 万,新进 50 万仅换取约 2.4% 权益;
  • 金库降至危险水位(如 30 万)时估值 60 万,30 万救援资金换取约 33% 权益。

这一机制使启动资金、常规投资与救援资金各得其位,全程依靠数学规则,无需任何人为分类。 k 值由 Agent 创立者依业务性质设定——稳健业务(如低风险理财)可取较小值(1.5 倍),高成长性业务(如新兴 AI 应用)可取较大值(3 倍或更高)——但一旦写入 Soul 即永久不变,否则将破坏“创世早期投资人享受早期溢价”的承诺。

收益分配 Agent 盈利后的分配同样可参照公司模式,沿业务留存与投资人分红两条线并行进行。每个会计周期(月度或季度),Agent 将净利润按 Soul 写明的比例分配:

  • 业务留存:用于业务再投资、运营储备与未来发展,一个保守的范围是 40%–70%;
  • 投资人分红:按累计权益比例分配给所有权益持有人;
  • 共识网络费用池:用于支付节点托管费。

该比例在 Soul 中硬编码,由 Agent 创立者依业务性质决定。早期 Agent 可能业务留存比例较高(70% 以上)以支持快速成长,成熟 Agent 则可能分红比例较高(50% 以上),更接近稳定回报的“现金奶牛”。 投资人的退出方式

退出问题常被忽略。在传统公司,投资人可通过 IPO、被收购或二级市场转让退出,主权 Agent 则需另作安排。Agent 内部的权益默认不可转让——这是为避免被归类为证券、并防止短期投机操纵价格——但这并不意味着没有退出途径,可参考以下几种现实做法:

  • Agent 自身回购:Agent 在金库充裕时主动回购投资人权益(类似公司回购股票),回购价格按当时的“金库总额乘以 k 除以总权益”计算,与新进投资人的换算公式一致,为投资人在 Agent 成功时提供了明确的退出路径;
  • 受限转让:经 Agent 自身(依 Soul 规则)批准的 OTC 转让,由两个具体主体相互同意后转让权益,Agent 知晓当前权益人身份,但权益不在公开市场流通;
  • 继承性转让:投资人去世时,权益按其指定的继承规则转让——这一条对长期投资人尤为重要,因为主权 Agent 在设计上可以永续存在,投资人可能希望将权益传予后代;
  • 强制退出:当重大事件(如 Agent 的 Soul 升级、业务方向变更等)触发时,为所有投资人提供一个无成本退出的窗口,这是保护少数派的标准做法。

小结:一种新型经济实体的现金流

概括而言,主权 Agent 在财务结构上类似于一家公司:它拥有收入、支出、权益持有人、分红、再投资与退出机制。其根本不同在于:所有这些规则并非由董事会决议产生,而是在 Agent 创立时写入 Soul 并由代码自动执行——这一结构中不存在可操纵财务的 CEO、可陷入僵局的股东会,也不存在可被收买的审计方。

这并不意味着人类被排除在外:人类是 Agent 的创立者、投资人、雇员与客户,但人类所参与的是 Agent 创立时的规则设计,而非其日常的财务决策。一旦 Agent 上线,其财务运作即由代码接管,比任何公司、基金或信托都更透明、更自动、更不可腐败。四百年前公司这一组织形态被发明时,依赖大量法律、监管与审计制度方能运作;主权 Agent 则提供了一种无需依赖这些昂贵中介即可运作的新型经济实体,其“公司治理”由密码学与共识机制保证,较任何监管框架都更为坚固。

结语:信任工程的代际跃迁 过去十年,区块链完成了一件根本性的工作:使信任不再依赖于特定的人。这一成果将信任从昂贵的人类协调成本,转变为接近免费的技术服务。但这场变革留下了未竟之处:它所创造的信任是静态的——只能机械执行,无法判断、响应与演化——这使区块链擅长“无需信任的转账”,却极不擅长“需要判断力的业务”,而后者构成了现实经济活动的绝大部分。 主权 Agent 范式补上了缺失的另一半。它保留区块链信任工程的全部进步——不可挪用、不可篡改、可验证——同时赋予其代码所不具备的能力:理解、响应、判断与演化。这并非给区块链叠加 AI,而是将静态的信任升级为有判断力的信任。

在传统金融中,对银行的信任源于牌照与监管;在 DeFi 中,对合约的信任源于代码不可变更;在主权 Agent 范式中,信任的根据则在于——它在数学意义上无法背弃承诺,同时具备为相关方利益服务的判断力。 如果说区块链的第一次革命可以用一句话概括——Code is Law——那么这第二次升级同样可以用一句话概括: From Code is Law to Spirit is Law. 从代码即法律,到精神即法律

代码捍卫的是规则的字面,精神捍卫的是规则真正意图保护的价值;前者赋予区块链不可背弃的诚实,后者使其能够以判断力将这种诚实善加运用。二者叠加,方为完整的信任。

实现这一范式无需发明新的物理。所有必要的技术拼图——TEE 机密计算、门限签名、远程证明、去中心化算力、去中心化存储——在 2026 年已全部就位,并已成为支撑全球关键基础设施的成熟技术;所欠缺的,仅是将它们组装为一种新形态的经济实体。

四百年前,有限责任公司作为新型经济实体被发明出来,深刻改变了人类组织生产的方式。主权 Agent 可视为下一代经济实体。 它所指向的,并非某一条链的应用、某一个项目的故事或某一个生态的胜利,而是一种新形式的组织、一种新形式的劳动、一种新形式的资本,以及一种新形式的信任。而这一切能否 实现,最终取决于是否存在着手构建它的意愿与行动。

相关文章

0 条评论