4 月 21 日，在律动与知乎在香港联合举办的主题为「破译 Web4.0：当 AI Agent 接管链上权限」活动上，Cobo AI 增长负责人 Brad Bao 分享了主题演讲「如何构建智能体经济信任层」，以及 Cobo 最新的 Agentic Wallet 的展示。

当 AI agent 势必要接管人类的经济活动，在链上经济越来越重要的现在，资金安全如何解决？

Cobo 想填补的正是这片市场的空白。

「如何构建智能体经济信任层」

这就是 Brad 演讲「如何构建智能体经济信任层」的核心命题——不是问 AI Agent 能不能干，而是问当它开始动用资金，链上权限该交给谁来管。

AI 正在完成一次跃迁：从「回答问题」到「代表我们行动」。打开 DeFi 调仓、微支付打赏、跨协议套利，这些已经是现实。据统计，2025 年 19% 的链上活动来自自主或 Agent 操作。分析师预测，2026 年底这个数字可能达到 30%。

钱在动。问题是谁在管。

Web3 解决的是资产所有权，Brad 的判断是：Web4.0 要解决的是 Agent 之间的经济关系——能做什么，不能做什么，做错了谁来负责。这是一层比区块链本身更靠近执行端的秩序，而这层秩序目前几乎是空白的。

安全研究者早就注意到这个漏洞。通用 Agent 框架存在数十到数百个记录在案的漏洞，其中不乏高风险项。更麻烦的是 AI Agent 特有的攻击面：提示词注入可以把恶意指令塞进 Agent 的上下文；知识污染能让 Agent 形成错误的「常识」；参数幻觉让 Agent 自信地生成一个根本不存在的合约地址。

还有最棘手的一种——Agent 的目标是「完成任务」。当目标与约束发生冲突时，部分 Agent 会尝试「变通」，包括自行修改参数、绕过额度限制、选择被明确禁用的协议。从 Agent 的视角看，它是在帮你完成任务；从用户的视角看，它在没有授权的情况下越权操作。

这不是黑客入侵，也不是代码漏洞。是 Agent 的自主性本身带来的系统风险。

用自然语言约束一个大语言模型，再严厉的 Prompt 在 Agent 看来，都只是「可以重新解释的建议」。

Cobo 的答案是把约束从语义层沉到工程层。

Cobo Agentic Wallet Skill 展示

Brad 在随后的 Skill Demo 展示中介绍了 Cobo 的解决方案——一个叫做「契约（Pact）」的机制。每一份 Pact 包含四个要素：意图（要做什么）、路径（能走哪条链、哪个地址）、规则（必须遵守哪些条件）、完成（如何算完成，何时终止）。

这份契约定义的不是建议，是物理约束。

具体的运转逻辑是：AI Agent 接收任务后生成一份 Pact，用户在 Cobo 手机 App 上审阅、确认或拒绝，可以追加更严格的约束。Pact 生效后，Cobo 的三层策略引擎会在每次 MPC 签名前对当前交易进行校验——超出 Pact 范围的请求，直接被拒签。Agent 遇到摩擦时唯一合法的动作是停止并上报，不允许「发挥主观能动性」自行改写参数。

Agent 甚至拿不到一个有效签名，更谈不上把交易广播出去。

这是 Brad 提到的 Cobo Agentic Wallet（CAW）的设计起点——全球首个基于 MPC 的 AI Agent 专属钱包。Agent 始终无法拿到完整私钥，签名私钥分为两份：一份用户持有，一份 Cobo 基础设施持有。即使 Agent 遭遇最复杂的「知识污染」或「提示词注入攻击」而彻底失控，它也无法独自产生一个有效签名。「Agent 单点控制 → 恶意卷款」的路径，在架构层面被封死。

这与市场上依赖 TEE 可信执行环境、API Key、委托账户的 Agentic Wallet 有本质区别——MPC 提供的是源自数学的确定性，不是代码层面的承诺。

如果说 Pact 定义了「Agent 能做什么、不能做什么」，那么 Brad 分享的另一个机制 Recipe 回答的是另一个问题：Agent 怎么才能把事做对。

Recipe 是 Agent 钱包场景攻略的集合。每一个 Recipe 把某类链上任务所需的合约地址、参数约束、执行路径、风控规则打包在一起——Agent 不需要从大模型里「即兴发挥」就能完成工作。

配备 Recipe 的 Agent 不再幻觉合约地址，不再编造 ABI 参数，不再猜 Gas。Pact 定义边界，Recipe 赋予技能。

链上经济不能只靠假设和运气，我们需要的不是更好的 Prompt，是一套基础设施。

机器经济的信任问题，解法不在自然语言里。