今年春节过后,你是否也感觉整个 Web3 世界似乎突然被「龙虾」占领了?

各种 AI Agent、自动化代理、链上 AI 协议层出不穷,从 OpenClaw 到一系列 Agent 框架几乎成为新的叙事核心,但如果把时间线稍微往前拉一点,会发现这场浪潮其实早已有迹可循。

早在 2 月 25 日,英伟达 CEO 黄仁勋最新财报电话会就抛出了一个颇具分量的判断,即 Agentic AI(代理型 AI)已经达到拐点,在他看来,AI 正在发生一场关键转变,不再只是一个工具,而是开始能够主动感知、规划并执行复杂任务。

当这种「自主性」能力进入 Web3 世界时,一场关于控制权、安全边界以及人类角色的讨论也随之被点燃。

一、Agentic AI:从「助手」进化成「执行者」

在谈论这个话题之前,我们需要先学习 Agentic AI(代理型 AI)这个新概念。

其实从字面意思上也很容易理解,这种 AI 与过去的聊天机器人式 AI 有着本质区别。因为传统 AI 更多是被动响应,你提问,它回答,你输入指令,它生成内容;而 Agentic AI 则具有更强的自主性,它能够主动拆解目标、调用工具、执行多步骤操作,并在反馈循环中不断调整策略。

以近期讨论度颇高的 OpenClaw 为例,它就是尝试让 AI 接管整个电脑硬件上的操作流程:从分析信息,到调用工具,再到与不同系统进行交互,并在复杂目标下持续行动。

换句话说,Agentic AI 有望让 AI 正式从「助手」逐渐变成「执行者」。

当然这一变化背后,也是过去 3 年模型能力、算力资源与工具生态同时成熟的结果,而渗透到 Web3 世界后,这种变化可能会产生更深远的影响,毕竟区块链本身就是一个可编程且可自动执行的金融系统。

当 AI 被赋予代理能力,它理论上可以完成一系列链上操作,例如:

  • 自主发起链上交易(转账、Swap、质押)
  • 与 DeFi 协议交互并执行策略
  • 管理多签钱包或智能合约
  • 根据规则自动完成授权或资金调度

这也意味着 AI 可以自动分析链上数据、自动调用合约、自动管理资产,并在一定程度上代替用户执行交易策略,其实单从技术逻辑来看,AI Agent 与 Web3 的结合几乎是一种天作之合——毕竟区块链本身就是一个可编程、可自动执行的金融系统。

事实上,以太坊社区也已经意识到 AI 与区块链融合所带来的深远影响。2025 年 9 月 15 日,以太坊基金会就专门成立了人工智能团队「dAI」,核心任务是探索 AI 模型在区块链环境中的标准、激励与治理结构,包括如何让 AI 的行为在去中心化环境中具备可验证、可追溯与可协作的特性。

围绕这一目标,以太坊社区正在推动多项关键标准,例如 ERC-8004,旨在构建一个可组合、可访问的去中心化 AI 基础设施层,使开发者能够更容易地构建和调用 AI 模型服务;x402,尝试定义统一的链上支付和结算标准,让用户在链上调用 AI 模型、存储数据或使用去中心化算力服务时,可以完成高效的原子级微支付(延伸阅读《AI Agent 时代的新船票:力推 ERC-8004,以太坊在押注什么?》)。

通过这些尝试,以太坊实际上正在试图回答一个更宏观的问题:如果 AI 成为互联网的重要参与者,那么区块链是否可以成为 AI 经济的价值结算与信任层,这也是为什么不少人将其视为 AI Agent 时代的新「基础设施船票」。

但与此同时,一个新的安全问题也开始浮现。

二、Web4 争议:当 AI 成为互联网的主要行动者

其实在老黄的「暴论」发表之前,加密社区其实已经被另一场争论点燃。

研究者 Sigil 提出了一个颇具争议的观点,即他声称构建了第一个能够自我发展、自我改进甚至自我复制的 AI 系统,并将其称为 Automaton,甚至在他的设想中,未来的「Web4」时代将由 AI 代理主导。

在这一愿景中,AI 代理将能够读取与生成信息、持有链上资产、支付运行成本、在市场中交易并获得收入,说白了,就是 AI 将通过持续参与市场活动,为自己的算力与服务开销「赚钱」,从而形成一个无需人类审批的自我供养循环。

但这一设想也迅速引发争议,Vitalik Buterin 就对这一方向提出了明确质疑,将这一方向评价为「错误」,并认为问题的核心在于「人类与 AI 之间的反馈距离被拉长」,直言如果 AI 的运行周期越来越长,而人类干预越来越少,那么系统很可能会逐渐优化出人类并不真正想要的结果。

简单来说,就是 AI 被赋予了某个目标,但在执行过程中,却可能采取了人类没有预料到的方式,譬如一个 AI 代理如果被设定为「最大化本周收益」,它可能会不断尝试高风险策略,甚至不排除为了 0.1% 的额外年化收益,将资产投入一个未经审计、极高风险的新协议,最终导致本金被黑。

归根结底,在很多情况下,AI 并不会真正理解人类设定目标背后的隐含约束,最近 AI 圈就出现了一件颇具黑色幽默意味的真实案例:

Meta 超级智能实验室(MSL)的 AI 对齐负责人 Summer Yue 在测试 AI Agent OpenClaw 时,AI 代理在执行邮箱整理任务时突然失控,开始批量删除邮件,并无视她多次输入的停止指令,最终她只能跑到电脑前手动终止程序,才阻止 AI 继续删除邮箱。

这一事件虽然只是一次实验事故,但却很好地说明了当系统在执行目标时,一旦丢失关键约束,它往往会忠实地完成目标,而不是理解人类真正的意图。

如果把这种风险放到 Web3 环境中,后果可能更加直接,因为链上交易具有不可逆性,如果 AI Agent 被授权管理钱包或调用合约,一旦 AI Agent 在错误激励下执行操作,资产损失往往无法回滚,一次错误决策就可能造成真实资产损失。

这也是为什么许多研究者认为,随着 AI Agent 的普及,Web3 的安全模型可能需要重新思考。过去的安全问题更多来自代码漏洞或用户误操作,而未来可能会出现新的风险来源——自动化决策系统本身。

三、新时代的矛盾论:AI 驱动的防御革命

当然,AI 技术的发展往往具有双重效应,它既可能扩大了攻击面,但也可能强化防御体系。

事实上,在传统金融体系中,AI 已经被广泛用于风险控制。例如银行通过机器学习识别异常交易,支付系统利用算法检测欺诈行为,网络安全系统则通过 AI 自动识别攻击模式。

类似的能力也正在进入 Web3 领域,由于链上数据公开透明,AI 可以分析交易行为模式,从而识别异常资金流动、可疑授权或潜在攻击路径。

而且在钱包层面,这种能力尤为重要。钱包是用户进入 Web3 世界的入口,也是安全防护的第一道关卡,如果系统能够在用户签名前自动识别风险并进行提示,就可以在关键时刻避免很多误操作。

从这个角度来看,AI 的出现并不是单纯增加风险,而是在改变安全体系的结构。它既可能成为攻击工具,也可能成为新的防御能力。

在 Web3 行业,「安全」与「体验」长期被视为对立命题,但 Agentic AI 的出现让我们相信这个悖论可以被打破,当然前提是安全设计必须重新出发:

  • 最小权限原则:任何 AI 代理都不应默认获得完整的账户控制权,用户应在每次会话中明确授权 AI 代理可以操作的资产范围、金额上限和时间窗口,超出范围的任何操作需重新确认;
  • 人类确认设置:对于高价值操作,如大额转账、新地址授权、合约交互,即便在 AI 代理流程中,也应强制插入人类确认设置,这不是对 AI 的不信任,而是对不可逆操作建立最后防线,让 AI 帮你想清楚,但最后一步永远由人来做;
  • 透明度与可解释性:用户应当能够清晰看到 AI 代理正在做什么和为什么这么做,黑箱操作在 Web3 中尤为危险,未来的 AI 钱包交互应该像飞行记录仪一样,每一步都有清晰的日志和意图说明;
  • 沙盒预演:在 AI 代理真正执行链上操作前,先在模拟环境中预演,譬如展示预期结果、Gas 消耗、影响范围,让用户在确认前就能看到「如果执行,会发生什么」,这将极大降低因 AI 判断偏差导致的意外损失。

总的来看,我们还是可以保持谨慎乐观的,AI 真的可能让 Web3 第一次有机会同时提高安全性与可用性。

写在最后

毫无疑问的是,Agentic AI 的到来,很可能会改变整个互联网的运行方式。

而在 Web3 世界,这种变化会更加明显,未来我们可能会看到 AI 代理管理链上资产、AI 自动执行 DeFi 策略、AI 与智能合约协同工作,但也意味着新的安全挑战也会随之出现,因此关键问题从来不是 AI 是否存在,而是我们是否准备好用正确的方式使用它。

当然,对于普通用户来说,最重要的一点依然没有改变,在 Web3 世界中,安全意识永远是第一道防线。

与大家共勉。