想象一下,未来你只需告诉 AI Agent:「帮我把钱包中一半的可用资金,都加仓 ETH」。Agent 随即读取余额、搜索流动性池、比较报价并构建交易路径,几十秒后发来消息:「找到了合适的买入方案,是否确认?」你回复了一个「Yes」。
但就在这一刻,你究竟批准了什么?它选择了哪个交易池?预计成交价格和滑点是多少?调用了什么协议?使用哪个钱包和多少资产?是否包含代币授权或其他附加操作?这些关键信息你并未真正看见,只是选择相信 Agent 对操作的概括。
这正是 AI Agent 从「回答问题」走向「替人行动」后暴露出的新风险:Agent 已能浏览网页、登录账户甚至完成支付和链上签名,但用户面对的授权界面,往往仍只是一条模糊的聊天消息和一个几乎不含有效信息的确认选项。一句「Yes」,开始决定你的资金、数据与设备安全。
一、当 Agent 开始行动,钱包为什么需要重新理解 Sign?
过去,加密钱包的主要签名风险来自用户看不懂交易内容——底层复杂的合约地址、函数参数和十六进制数据难以判断是转账还是危险操作。因此,钱包需将原始数据解析为人类可读信息,让用户在签名前看清细节。这种“Clear Signing”(清晰签名)旨在弥合机器数据与用户理解之间的鸿沟。
但 AI Agent 带来的问题更复杂:用户看不到的不再是一笔交易,而是一整条由 Agent 自动规划的操作链路。例如,为完成「加仓 ETH」目标,Agent 可能需读取余额、调用第三方工具、执行脚本并提交交易。用户既无法逐条检查所有请求,又必须在资产兑换前作出最终决定。
当前许多 Agent 的授权方式是在聊天窗口发送简短说明,等待用户回复「Yes」或点击按钮。这种方式看似完成授权,实则存在三大隐患:
- 黑箱操作:用户批准的是模糊意图,而非真实动作参数;
- 身份不可靠:聊天回复不等于数字签名,他人可轻易冒充输入「Yes」;
- 界面可伪造:Agent 同时控制操作发起与展示界面,可能隐藏关键信息或展示虚假内容。
这形成了信任悖论:我们希望通过确认界面限制 Agent,却又让 Agent 自己决定用户能看到什么。当 Agent 接触资金、数据或设备时,一次模糊批准可能导致真实资产损失或隐私泄露。
因此,AI Agent 时代需要的不是更多「Yes」按钮,而是一套能证明「用户看到了什么、批准了什么、系统执行了什么」的签署机制。
二、Sigil:位于 AI Agent 与钱包之间的签名护盾
imToken 最新推出的 Sigil 正是为此而生——它定义自己为一道位于 AI Agent 与钱包之间的安全护栏。
Sigil 并不阻止 Agent 执行任务,而是允许用户在首次设置时明确授权边界:哪些低风险操作可自主完成,哪些敏感操作必须暂停并等待用户独立、明确且可验证的批准。
整个流程分为四步:
- Agent 发起操作:如浏览网页、预订服务或准备交易;
- 触发安全策略判断:若涉及发送消息、删除文件、运行代码、花费资金或链上签名等敏感行为,Sigil 暂停执行并解析请求;
- 用户通过 Passkey 明确批准:一张清晰的确认卡片发送至 Telegram,展示商户、金额、接收方等结构化参数,而非 Agent 的自然语言概括;
- 验证后继续执行:仅当 Sigil 网关验证用户签名后,Agent 才能继续,否则资金与签名不会移动。
关键在于,Sigil 重建了展示、签署与执行的关系:展示的是实际请求,签署的是展示内容,执行的必须是已签署请求。三者不一致,操作即被拦截。
用户可选择 Relaxed、Balanced 或 Strict 等安全级别,或进入 Custom 模式自定义规则。但无论何种策略,花费资金和签署交易始终需本人批准——这是 Sigil 不会让步的底线。
三、从 Crypto 到 AI Agent,Sigil 想守住什么?
围绕「What you see is what you sign」,Sigil 提供三层保障:
- 清晰可见:确认卡片直接解析协议、金额、接收方等关键字段,用户无需信任 Agent 概括;
- 身份绑定:通过 Passkey 与生物识别确认用户本人身份,即使他人拿到设备也无法冒充授权;
- 界面防篡改:确认页面为注册的独立模块,在沙箱中渲染,内容固定于链上,Agent 无法临时替换或伪造。
此外,Sigil 采用无助记词设计,用户无需额外保管私钥或助记词,真正控制权始终掌握在用户手中。
Sigil 不仅适用于加密场景——未来链上 Agent 可自动执行投资、收益管理、头寸调整等操作,亟需防止行为偏离预期。其意义也延伸至通用 AI Agent 领域:无论是 OpenClaw、Hermes 还是其他智能体,只要以用户名义调用邮件、支付、文件或终端能力,就需确保真实授权。
钱包行业过去积累的私钥管理、数字签名、权限确认等能力,在 AI Agent 时代正转化为管理智能身份与机器权限的基础设施。作为 imToken 与 OpenClaw 的共同探索,Sigil 将十年自托管经验带入 Agent 执行新阶段——它不替代 Agent,也不取代钱包,而是站在二者之间,守护用户的最终决定权。
写在最后
AI 正让行动能力变得廉价:过去需多步操作的任务,未来一句指令即可完成。但「能替用户行动」与「已获有效授权」始终是两回事。
真正决定智能系统是否可信的,不是它能完成多少任务,而是用户是否始终能理解、限制并在必要时叫停它。从这个角度看,Sign 不是效率障碍,而是 Agent 进入资产与现实服务前最重要的信任基础。
Store 让用户拥有资产,Send 让价值自由流动,Stake 让用户参与开放网络,而 Sign 要解决的,是当机器开始替人行动时,用户如何保有最后的控制权。Sigil 的价值,正在于将这一抽象命题,首次推向可验证、可迭代的产品实践。
