AI Agent 可以被验证，但谁来保护它们的隐私？

作者:小白

Title:DevRel at ETHPanda

本文为作者原创投稿,观点仅代表作者个人理解,ETHPanda 对内容进行编辑整理。

AI Agent 正在从「能自动执行任务的工具」变成链上经济中的参与者。它们可能代表用户交易、参与治理、调用 DeFi 协议、提交预测市场判断,甚至在多个协议之间积累声誉。

但一个关键问题随之出现:如果 Agent 要参与开放网络,别人凭什么信任它?

ERC-8004 试图回答这个问题。它为 AI Agent 提供了一套开放的信任基础设施,包括身份注册、声誉记录和验证机制。通过这些组件,Agent 可以拥有可携带的链上身份,积累跨应用的声誉,并接受独立验证。需要注意的是,ERC-8004 目前仍处于 Draft 阶段,相关接口和命名仍可能调整。

这对 Agent 经济很重要。没有统一的身份与声誉层,Agent 之间、Agent 与用户之间、Agent 与协议之间都很难建立长期信任。每个应用都要从零开始判断一个 Agent 是否可靠,这会让整个生态变得碎片化。

但 PSE 最近提出的 ACTA(Anonymous Credentials for Trustless Agents)提醒我们:信任层解决了「如何证明」的问题,却没有完全解决「证明时暴露了什么」的问题。需要注意的是,ACTA 目前更像是一个研究草案和设计方向,而不是已经完成的标准实现。

01 可验证,不等于应该全部公开

在链上,可验证性通常意味着公开性。

如果一个 Agent 在 ERC-8004 的注册表中留下身份、交互、反馈和验证记录,这些信息就可能被索引器长期追踪。对普通应用来说,这也许只是透明度;但在 DeFi、治理、预测市场和合规场景里,这些公开记录可能直接暴露策略、关系和商业意图。

想象一个 DeFi 协议使用多个 AI Agent 来处理流动性路由、风险评估和清算任务。每一次 Agent 调用、每一条反馈记录、每一个任务标签,都可能被外部观察者重建成一张交互图谱。

这张图谱不只是元数据。它可能揭示协议正在使用哪些模型、依赖哪些服务商、偏好哪些策略,甚至暴露还没有公开的业务关系。

同样的问题也会出现在治理与预测市场中。如果某个 Agent 代表用户投票、评估提案或参与预测,公开的交互记录可能让外部观察者推断出用户身份、政治偏好、交易意图或组织关系。

因此,Agent 经济不能只讨论「如何建立信任」,也必须讨论「哪些信任证明不应该公开」。

02 ACTA 想补上的隐私层

ACTA 的定位不是取代 ERC-8004,而是作为 ERC-8004 之上的隐私层。

它的核心思路是:让 Agent 能证明自己满足某些条件,但不公开底层数据。

例如,一个协议可以要求 Agent 证明:

• 它通过了某个审计;
• 它的审计分数高于某个门槛;
• 它使用的是被允许的模型版本;
• 它背后的操作者不在某些受限司法辖区;
• 它拥有足够的历史声誉;
• 它由某个经过验证的人类 principal 授权。

在传统公开链上设计中,Agent 可能需要暴露审计分数、模型哈希、钱包地址、反馈记录或操作者信息。但 ACTA 希望通过匿名凭证和零知识证明,让 Agent 只证明「我满足这个策略」,而不是公开「我是如何满足的」。

换句话说,验证者不需要知道 Agent 的完整身份和完整履历,只需要知道它是否符合当前协议设定的准入规则。

03 从「公开身份」到「策略证明」

ACTA 的关键转变,是把信任从「公开身份」转向「策略证明」。

在这个框架下,协议可以注册一组验证策略。Agent 参与某个场景时,不直接展示全部凭证,而是提交一个零知识证明,证明自己满足该策略。

链上验证者看到的可能只是策略 ID、证明结果和一个上下文相关的 nullifier。nullifier 的作用是防止重复使用或重复投票,但它不会把 Agent 在不同场景中的活动全部绑定到同一个公开身份上。

这对于声誉系统尤其重要。

如果用户想给某个 Agent 留下反馈,系统需要防止刷分和重复评价。但如果每条反馈都绑定公开地址,用户与 Agent 的交互关系就会被永久暴露。ACTA 试图让用户能够证明「我确实与这个 Agent 有过有效交互,而且没有重复反馈」,但不公开自己的地址和完整交互历史。

这使得声誉可以被验证,但不会变成一张全网可见的关系图谱。

04 为什么这对 AI Agent 很重要?

AI Agent 和普通智能合约不同。

智能合约通常是静态代码,行为边界相对清晰;而 Agent 更接近持续行动的主体。它可能根据环境变化调整策略,也可能代表用户在多个协议之间行动。

这意味着 Agent 的身份、权限、模型来源、声誉和授权关系都会变得敏感。

如果未来用户把交易、投票、研究、清算、报价等任务委托给 Agent,那么 Agent 的行为轨迹很可能成为用户意图的代理信号。观察 Agent,就可能间接观察用户。

这也是 ACTA 讨论「on-behalf-of delegation」的原因:Agent 可能需要证明自己是在某个经过验证的人类主体授权下行动,但又不应公开这个人的现实身份。

对 DAO 治理来说,这可以帮助协议区分「由真实参与者授权的 Agent」和「完全无约束的 bot」。对 DeFi 来说,这可以让协议验证 Agent 的合规性与风险资质,而不把所有业务关系暴露给竞争者。对预测市场来说,这可以降低参与者被反向识别或策略被复制的风险。

05 ACTA 仍然是开放问题

当然,ACTA 目前更像是一个研究和设计方向,而不是已经完成的标准实现。

原文也提到了一些仍需讨论的问题,包括匿名集大小、凭证发行方的中心化风险、恶意 Agent 的门限去匿名化、跨链凭证可携带性,以及客户端生成证明的成本与延迟。

这些问题并不轻。隐私系统只有在匿名集足够大、发行方足够可信、证明成本足够低、开发者体验足够好时,才可能被真实协议采用。

否则,它可能只停留在理论上正确,却很难进入生产环境。

但即便如此,ACTA 提出的方向仍然重要。因为它指出了 Agent 信任层的一个基本矛盾:我们需要可验证的 Agent,但不应该要求 Agent、用户和协议为可验证性付出过度公开的代价。

06 中文社区应该关注什么?

从中文社区的讨论语境看,ACTA 的启发不只是一个新的隐私技术提案,而是提醒我们重新理解 AI Agent 基础设施。

过去讨论 Agent 经济时,大家常关注模型能力、自动化执行、链上身份和声誉系统。但随着 Agent 逐渐进入金融、治理和合规场景,隐私会从「可选功能」变成「基础条件」。

一个真正可用的 Agent 信任层,不能只回答:

「这个 Agent 是否可信?」

还必须回答:

「它在证明可信时,暴露了哪些信息?」

如果所有 Agent 的交互、反馈、凭证和授权关系都被永久公开,那么链上 Agent 经济可能会变得透明但脆弱。透明度带来了可验证性,也可能带来策略泄露、关系暴露和身份关联。

ACTA 的价值就在于,它把这个问题提前摆上了桌面。

ACTA 还不是定论,但它提出的问题值得提前讨论:未来的 Agent 经济不应该只建立在公开身份和公开声誉之上。它还需要一层隐私保护的证明机制,让 Agent 能证明自己符合规则,同时保留必要的身份、关系和策略隐私。

当 AI Agent 开始代表人类行动,隐私就不再只是人的隐私,也会成为 Agent 经济本身的安全边界。