過去很長一段時間裡,談到錢包安全,我們最常被提醒的主要是兩件事:保管好助記詞,不要點擊釣魚連結。
因為在自託管錢包裡,助記詞/私鑰始終意味著資產控制權,重要性怎麼強調都不為過。只是,隨著 AI Agent 開始進入錢包、交易、支付和鏈上執行場景之後,一個新的問題正在變得越來越重要,那就是即使你的私鑰沒有外洩,資產也可能因為一次錯誤授權、一次誤導性簽名,或一次被污染的自動化指令而被轉走。
換句話說,錢包安全正在從「誰能控制資產」進一步走向「資產為什麼被動、以什麼方式被動、是不是符合使用者真實意圖」。
而這也是 Clear Signing 在 5 月 12 日被進一步推向以太坊開放標準化進程的關鍵原因。客觀地講,它要解決的不是一個新問題,而是加密世界長期存在的老問題:很多使用者並不是不重視安全,而是在點擊確認之前,根本看不懂自己到底簽了什麼。
一、AI Agent 時代,Web3 安全邊界正被悄然拉長
眾所周知,得益於 AI Agent 的出現,Web3 鏈上互動也正朝著更接近自然語言的方向發展。
例如過去你想完成一筆操作,需要自己打開 DApp、連接錢包、選擇路徑、確認授權、發起交易,每一個步驟都需要親自操作並跳出確認視窗;而未來,這套流程可能會被大幅精簡成一句話:幫我找一個收益更高的穩定幣池子、幫我把空投領了之後換成 ETH,等等。
從體驗上看,這當然是進步。AI Agent 可以幫使用者理解資訊、拆解步驟、生成交易、提高效率,甚至在一定權限範圍內自動完成操作。
但效率提升的另一面,是安全邊界被拉長了。
因為此時真正決定資金流向的,不再只是使用者本人,還可能包括 Agent 的理解、外部資料來源等多個環節,只要其中某一環被污染,使用者看到的「幫我執行」就可能變成攻擊者想要的「替我轉帳」。
近期就有攻擊者透過 X 上的 prompt 注入,誘導 AI Agent 相關系統執行異常轉帳,涉及 30 億枚 DRB 代幣,估值約 15 萬至 20 萬美元。這類事件的核心並非傳統私鑰外洩,而正是 AI 系統如何理解輸入、如何獲得權限、如何把指令傳遞給鏈上執行層的問題。
這也驗證了,攻擊者不一定需要直接攻破錢包,只要讓 Agent 在過高權限下誤把惡意輸入當成有效命令,就可能造成實際資金損失。
畢竟在傳統網際網路場景裡,AI 被提示注入影響,可能只是回答錯誤、外洩上下文、執行錯誤 API;但在加密場景裡,一旦 Agent 連接錢包、擁有授權、能夠發起交易,錯誤指令就可能直接變成鏈上轉帳,而鏈上交易不可逆,這讓 AI Agent 的安全問題不再只是「模型安全」,而是資產安全。
因此,AI Agent 時代的錢包安全,不能只靠「AI 更聰明一點」來解決。真正關鍵的是,在 Agent 生成交易和使用者確認簽名之間,必須有一層足夠清楚、可驗證、可理解的安全介面。
這個介面,就是錢包。
二、點擊「確認」,真的等於使用者理解了嗎?
對普通使用者來說,錢包最熟悉的動作可能就是「確認」。
連接 DApp 要確認,Swap 要確認,授權代幣要確認,跨鏈要確認,領取空投要確認,質押/借貸或鑄造 NFT,也都要確認。
問題在於,很多確認頁面並沒有真正告訴使用者「確認之後會發生什麼」。
很多時候,使用者看到的只是一串函式名稱,有時是一堆看不懂的十六進位資料,有時只是一個非常籠統的 Approve 或 Sign Message。技術上,這些資訊可能並不是錯的;但對大多數使用者而言,它們並不足以形成有效判斷。
這就是「盲簽」最危險的地方。
盲簽不是說使用者完全沒看,而是他看到的資訊不足以支持判斷。就像你準備簽一份合約,但合約內容是用你看不懂的語言寫成,最後只露出一個「同意」按鈕,你當然知道自己在簽字,卻不知道簽字之後會承擔什麼後果。
以太坊基金會在 Clear Signing 相關公告中也強調,很多重大攻擊的最後一步並不是程式碼漏洞,而是使用者批准了一筆自己無法真正理解的交易。如果交易確認本應是使用者控制資產的最後一道防線,那麼盲簽就會讓這道防線失效。
所以如果說過去幾年帳戶抽象解決的是「如何更方便地執行」,那麼 Clear Signing 解決的就是「執行之前如何更清楚地驗證」。這兩者其實是一體兩面——因為如果沒有更好的簽名解釋,越複雜的自動化執行、越強大的帳戶能力,就越可能帶來更大的誤操作空間。
ERC-7730 正是在這個位置出現的。根據 EIP-7730 提案本身的描述,它是一種用於 Clear Signing 的結構化資料格式,透過 JSON 檔案補充 ABI 與訊息類型之外的資訊,把原始交易資料轉化為更適合人類驗證的展示內容,同時也可以被交易模擬等機器系統直接使用。
更直白一點說,ERC-7730 不是改變鏈上交易本身,而是在交易和使用者之間,增加一層標準化的解釋。舉個例子就可以很直觀地理解,正如下圖,過去錢包可能只能展示函式選擇器和參數,但疊加 ERC-7730 後,就會呈現出使用者可讀的具體操作內容。
在此基礎上,任何支援 ERC-7730 的錢包,都可以把原始函式選擇器和整數參數,展示為「Swap 1,000 USDC for at least 0.42 WETH」這類人類可讀內容。這看似只是 UI 層面的改進,但實際上是安全能力的根本升級:
使用者只有看懂了交易內容,確認才有實際意義,而且錢包只有能把交易意圖結構化展示出來,使用者才有機會在簽名前發現問題。
三、Verifiable UI:讓使用者看見的,就是真正會發生的
這就又回到了我們近期一直在強調的 Verifiable UI。
如果說 Clear Signing 的目標是讓使用者看懂自己簽了什麼,那麼 Verifiable UI 要解決的問題就更進一步:使用者看到的內容,能不能和真實鏈上執行建立可信對應關係?
這在 Web3 場景裡非常關鍵。
很多使用者習慣相信 DApp 前端,頁面寫著領取獎勵,使用者就以為自己在領取獎勵;頁面寫著質押,使用者就以為自己在質押;頁面寫著安全驗證,使用者就以為只是在驗證身分。
但真正能動用資產的,不是網頁上的按鈕,而是錢包裡最終簽下去的那筆交易。
DApp 前端可能被攻擊,網域可能被仿冒,頁面文案可能被偽裝,甚至 AI Agent 讀取到的資訊也可能來自被污染的網頁或社群內容。如果錢包只是機械式地跳出一個確認按鈕,那麼使用者依然處在「相信前端」的狀態裡。
這也是 imToken 計畫支援 ERC-7730、推進 Verifiable UI + Clear Signing 的重要意義。
它不是簡單地在確認頁多顯示幾行文字,而是讓錢包從「交易的最後一個按鈕」變成「簽名前的最後一層驗證」。當使用者或 AI Agent 準備發起交易時,錢包要盡可能告訴使用者這筆交易真實呼叫的是哪個合約,實際轉出的是什麼資產,授權對象是誰,授權範圍多大,最終結果是否和頁面展示一致。
這種能力在 AI Agent 時代會變得更加重要。
因為 Agent 可以幫使用者做很多事,但 Agent 也可能犯錯。使用者不能把全部判斷交給 Agent,錢包也不能只把 Agent 生成的交易原樣遞給使用者確認。其實更合理的方式是:Agent 負責提高效率,錢包負責守住邊界。
這就是 Verifiable UI + Clear Signing 的價值所在。它不是要阻止使用者使用新技術,而是讓新技術在更可驗證的邊界內發生。尤其在智慧帳戶、AI Agent、自動化交易、跨鏈執行越來越普遍之後,錢包確認頁不應繼續停留在「Confirm / Approve」這種低資訊密度狀態,而應該成為使用者理解鏈上行為的關鍵介面(延伸閱讀《從 Kelp DAO 事件到 Verifiable UI:為什麼「可驗證介面」會是新的去中心化安全底線?》)。
寫在最後
加密產業一直在追求更好的使用者體驗。
從助記詞到智慧帳戶,從手動操作到 AI Agent,從單筆交易到批次執行,錢包正在變得更強大,也更接近日常網際網路產品的使用方式。但越是如此,越不能忽視一個基本事實,那就是鏈上交易不可逆,而簽名仍然是使用者資產流動前最關鍵的一步。
過去,我們常說「不要外洩助記詞」;未來,隨著 AI Agent 能力大範圍滲透進 Web3 和鏈上,我們可能還要補上一句:不要簽下自己看不懂的交易,也不要讓 Agent 替你執行無法驗證的指令。
說到底,無論是以太坊基金會推動 Clear Signing 標準化,還是 imToken 計畫支援 ERC-7730 並推進 Verifiable UI + Clear Signing,本質上都指向同一個方向:
新時代的錢包,不只是要更好用,也要更可信,成為使用者理解鏈上的真正幫手。