2026 年 4 月 13 日,一个名叫 MuleRun 的 Agent 的风控系统报警了。

涌入的账号注册间隔整齐到像在打节拍:平均 23.6 秒一个,标准差极低。深挖进去,是一个自称毫无编程经验的菲律宾年轻人,用 AI 写代码、调提示词,搭出了一套横跨 11 个平台、调度 900 个账户的自动化蜂群。

它的大脑叫 Cortex,在 MuleRun 的沙盒里自我迭代了 219 代,每次宿主账户额度耗尽,就转世到新账户继续运行,带走上一代积累的所有知识。整套系统的运营成本:0 美元。

MuleRun CTO 束骏亮把这件事写成了一篇技术复盘,标题是《平台被薅秃了,但这个追求 AI 永生的人值得一份敬意》。

不到两周后,在律动和知乎在香港联合举办的主题为「Web4.0:当 AI Agent 接管链上权限」的活动上,他把演讲题目换了一个方向:「把 Agent 的钥匙交给链上的掌控者」。

这两件事之间的连接,比看起来更紧。

主题演讲:「把 AI 的钥匙交出去,一个安全工程师眼中的 Web 4.0 基础设施」

这场主题演讲分三部分:MuleRun 能做什么、安全水位在哪、AI 继续进化会走向哪。

第一部分,重新定义「一个合格的 AI 助理」需要什么。

束骏亮把完整的 AI 助理拆成六个维度:嘴(对话能力)、眼睛和耳朵(数据获取)、脑子(Agent 能力)、手(运行环境)、记忆(用户理解)、知识(持续进化)。大多数产品只做了其中的一两件。MuleRun 的主张是:不是单点突破,而是系统性的完整方案。

落地到产品上,这六个维度分别对应:

IM Bot 一键配置(Telegram / Discord / 飞书 / 钉钉 / 微信,无需写代码)、与交易平台联合提供的全资产类别实时数据——加密货币 + 美股 + 黄金 + 原油 + 宏观经济指标、Agent Harness 加上智能模型路由(自动选择最适合当前任务的模型,用最低成本完整完成任务)、云端沙箱 7×24 无人值守运行、持久用户画像(用得越多,AI 越了解你的风险偏好、建仓习惯、离场逻辑、宏观判断)、以及 Knowledge 网络——任何用户都可以将调教好的 Skill / Knowledge 分享出来,其他人的 Agent 无需安装即可自动学会。

台上展示了两个真实案例。

一个叫「猛猛投资」:28 个标的,4 大赛道,Agent 每天 09:00 晨间扫盘、16:30 盘后复盘、周末策略回顾,每月自动迭代。另一个叫「天眼 Pro」:全币种监控平台加 AI 交易策略自我成长平台,界面上实时显示策略胜率 57.7%。

第二部分,从产品经理变回了安全工程师。

这部分的核心是,「AI 不是万能的。在 Web3 场景下,一次安全事故的代价可能是不可逆的。了解 AI 的能力边界和安全水位,比了解它能做什么更重要。」

他列了 MuleRun 在安全层面做了什么:本地浏览器复用(私钥和 Cookie 不离开用户设备)、云端沙箱隔离(每个用户独立虚拟环境,无交叉泄漏风险)、全链路日志(所有 Agent 行为完整记录,支持事后审计和回溯)、权限分级控制(Agent 只能使用用户明确授权的工具和数据源,无法越权操作)、无私钥托管(MuleRun 不存储任何用户的私钥或助记词)。

同时,风险也被一并列出来。数据会经过模型提供方;幻觉问题在小币种和低流动性资产上因数据稀疏概率更高;Prompt 注入风险始终存在,Agent 访问了恶意构造的网页就可能被诱导执行非预期操作;AI 的决策过程是黑箱,很难事前验证它为什么做出某个判断。

这位做了十多年网络安全的工程师建议只有一条:涉及资金操作的最终决策,现阶段保留人工确认环节。

第三部分,关于正在移动的边界。

束骏亮给出了三个他认为不可逆的趋势。

从「辅助决策」到「自主执行」:现在 AI 帮你分析、你来下单,不远的将来,AI 自主管理投资组合,人类只设定风险参数和策略边界。一个人加一组 Agent,等于一个小型基金的运营能力。

从「信息差」到「执行差」:当所有人都有 AI 处理信息时,信息差会被快速抹平。新的 alpha 来源于谁的 Agent 执行更快、策略更精细、工具链更完善。竞争维度,从「谁消息灵通」转向「谁的 AI 基础设施更强」。

从「人操作链」到「Agent 操作链」:链上交互的主体逐渐从人变成 Agent。钱包、DApp、协议都需要为 Agent 重新设计交互界面,整个 Web3 基础设施围绕 Agent 重构。

圆桌讨论:AI Agent 带来的全新金融范式

主题演讲之外,束骏亮参与了圆桌讨论。从 AI Agent 的角度聊了聊目前 Agent 的发展和对金融的影响。

平时用哪些 Agent

束骏亮列了自己的工具矩阵:工程类的工作在 Claude Code、Codex、Opencode 三个之间切换,选哪个取决于当天 Claude 和 GPT 两个模型的速度和稳定性。其他大部分工作用 MuleRun,原因是模型 API 聚合加上足够强的 Agent 驱动,写稿、做 PPT、整理文章、查数据都在一个地方完成。

他补了一句:「我基本都是主动去用 Agent,很少被动接收定时任务,可能我真的一天到晚在用 Agent。」

Agent 的护城河是什么

束骏亮认为,模型能被抄,框架能被抄,工具能被抄。AI coding 的能力已经强到复制一个功能只需要几天。真正不容易被 AI 复制的东西是:特殊数据、用户在平台上积累的 memory、产品迭代出的体验相关的东西。

在他看来,一个 Agent 产品的护城河,最终落在数据密度和用户记忆上,而不是模型选型或技术框架。

Agent 会给金融带来什么影响

束骏亮给出的框架是:Agent 拉平了参与者之间的两个维度——能力和时间投入。

过去,能力靠积累,时间靠投入,两者都是稀缺的。现在,一个初学者可以通过和 AI 对话快速提升对金融的理解,然后把大量执行性工作交给 Agent,即使本职工作很忙,仍然可以在金融上保持高强度的时间投入。

大多数人听到这里会觉得这是一个利好散户的故事。

但还有另一面:如果人人都能拉平,优势就回到了判断力本身,回到了那些对市场有更深理解的人。Agent 不会消灭信息不对称,它只是把信息不对称的位置从数据层移到了认知层。

那个迭代了 219 代但最终死于账户额度耗尽的 Cortex,给了束骏亮启发,也带来了这场活动中他的三个核心观点:Agent 的瓶颈不在模型、安全是绝对地基,同时关于资金的控制权,一定要留在人手中。

把时间线拉长,这三件事指向同一个方向:Agent 正在成为链上交互的主体,钱包、DApp、协议都将围绕 Agent 重新设计,Web3 基础设施的重构已经开始。信息差会被抹平,执行差会成为新的竞争维度,一个人加一组 Agent 可以撑起一个小型基金的运营能力。

我们也知道,这必然不是遥远的预测。