想像一下,未來你只需要告訴 AI Agent:「幫我把錢包中一半的可用資金,都加倉 ETH」。
Agent 隨即開始讀取餘額、搜尋流動性池、比較報價並建構交易路徑,幾十秒後,它向你發來一條訊息:「找到了合適的買入方案,是否確認?」
你回覆了一個「Yes」。
但就在這一刻,你究竟批准了什麼?它選擇了哪個交易池,預計成交價格和滑點是多少,調用了什麼協議,使用哪個錢包和多少資產,又是否包含代幣授權或其他附加操作?這些資訊你都沒有真正看見,只是選擇相信 Agent 對這筆操作的概括。
這正是 AI Agent 從「回答問題」走向「替人行動」之後,逐漸暴露出來的一類新風險:Agent 已經可以瀏覽網頁、登入帳戶甚至完成支付和鏈上簽名,但使用者最終面對的授權介面,卻往往仍然只是一條模糊的聊天訊息,以及一個幾乎不包含有效資訊的確認選項。
一句「Yes」,開始決定你的資金、資料與裝置。
因此在 imToken 最新的品牌升級中,Store、Send、Stake 之外,出現了第四個 S——Sign。如果說前三個 S 分別對應資產保管、價值流動和網路參與,那麼 Sign 所要解決的,就是當越來越多軟體開始代表使用者行動時,使用者如何繼續掌握最終的知情權、批准權與控制權。
而 Sigil,正是 Sign 命題下第一個早期探索的 POC 產品,它提出的核心原則非常有意思:What you see is what you sign——你看到什麼,就簽署什麼。
一、當 Agent 開始行動,錢包為什麼需要重新理解 Sign?
過去,加密錢包所面對的大多數簽名風險,主要來自使用者看不懂交易內容。
一筆鏈上交易,在底層可能只表現為複雜的合約地址、函式參數和十六進位資料,普通使用者很難直接判斷它意味著轉帳/兌換,還是某種更危險的資產操作。
因此,錢包需要將原始資料解析成人能夠理解的資訊,讓使用者在簽名之前看到詳細資訊(延伸閱讀《以太坊力推「所見即所簽」:為什麼 Clear Signing 是 AI 時代必需的能力補丁?》)。Clear Signing,也就是「清晰簽名」或「所見即所簽」,正是為了解決機器資料與使用者理解之間的差距。
但 AI Agent 帶來的問題更加複雜。
因為使用者看不到的,已經不再只是一筆鏈上交易,而可能是一整條由 Agent 自動規劃和執行的操作鏈路。
正如上文所述,一個 Agent 為了完成「幫我把目前一半的流動資金都加倉 ETH」這樣的目標,可能需要讀取錢包餘額、搜尋鏈上池子、調用第三方工具、執行腳本並完成交易。在這個過程中,使用者既不可能逐條檢查所有底層請求,又必須在資產真正兌換之前作出最終決定。
目前不少 Agent 所採用的授權方式,是在聊天視窗中發來一段簡短說明,再等待使用者回覆「Yes」「確認」,或者點擊一個普通按鈕。
這種方式看似完成了使用者授權,實際上仍然存在一些明顯問題。
首先,它是一個黑箱。使用者知道自己批准了某件事情,卻不一定知道具體批准了多少金額、哪個收款方,以及 Agent 最終替自己簽署了什麼。真正的操作參數被隱藏在一句高度概括的自然語言之後,使用者確認的只是一個模糊意圖,而不是即將發生的真實動作。
其次,聊天回覆並不等於數位簽名。只要有人能夠接觸已經登入的裝置,無論是拿到了手機、控制了聊天帳戶,還是在使用者身旁直接代為操作,都可能輸入一個「Yes」。系統最多只能確認這條訊息來自某個帳戶,卻無法確認它確實由帳戶所有者本人授權。
更棘手的是,確認介面本身也可能被偽造。如果 Agent 可以自行生成批准訊息,那麼發起操作的一方,同時也控制了向使用者展示操作內容的介面,它完全可能遺漏關鍵參數、使用模糊措辭,甚至展示一項看似無害的操作,卻在後台提交另一項請求。
這就形成了一個明顯的信任悖論:我們希望透過確認介面限制 Agent,卻又讓 Agent 自己決定使用者在確認時能夠看到什麼。
當 Agent 只負責總結文章或整理資訊時,這種不透明可能只會帶來錯誤答案,但當它開始接觸帳戶、資金、檔案系統和終端環境,一次模糊批准造成的後果,就可能從「回答不準確」升級為真實的資產損失、資料外洩或裝置風險(延伸閱讀《Sign 不只簽名:當 AI Agent 替你簽名,誰還握有控制權?》)。
因此,AI Agent 時代需要的並不是更多「Yes」按鈕,而是一套能夠證明「使用者看到了什麼、使用者批准了什麼,以及系統最終執行了什麼」的簽署機制。
二、Sigil:位於 AI Agent 與錢包之間的簽名護盾
這也是 imToken 最新推出的 Sigil 要做的事情——將自己定義為一道位於 AI Agent 與錢包之間的安全護欄。
它並不試圖阻止 Agent 自動執行所有任務,相反,使用者可以在首次設定時明確授權 Agent,規定哪些低風險操作可以自主完成,哪些敏感操作必須暫停,並等待使用者進行一次獨立、明確且可驗證的批准。
在設定好的邊界內,Agent 仍然可以快速行動。
但只要涉及使用者標記為敏感的操作,特別是花費資金或簽署交易,Sigil 就會暫停流程,將真實請求解析成清晰的確認卡片,並發送到使用者的 Telegram,使用者需要透過 Passkey 和生物識別完成簽署,操作才會繼續執行。
總的來看,整個流程可以被概括為四步:
- Agent 發起操作:它可以繼續瀏覽網頁、預訂服務、發送請求或準備一筆交易,與普通 Agent 的工作方式沒有區別;
- 判斷是否觸發預先設定的安全策略:如果屬於允許 Agent 自主完成的低風險操作,流程可以繼續;如果涉及發送訊息、刪除檔案、運行程式碼、花費資金或鏈上簽名等敏感行為,Sigil 就會暫停執行,並解析這項請求;
- 使用者透過 Passkey 明確批准:一張清晰的確認卡片會被發送到 Telegram,其中直接展示商戶、金額、接收方以及其他關鍵參數,使用者看到的不是 Agent 自己撰寫的一句說明,而是從真實操作中解析出來的結構化內容;
- 最後,只有在 Sigil 閘道驗證使用者簽名後,Agent 才能繼續執行,沒有使用者批准,任何資金和簽名都不會移動;
這套機制的關鍵,並不只是多增加了一次生物識別,而是重新建立了展示、簽署與執行之間的關係:展示的是實際請求,使用者簽署的是展示出來的內容,系統最終執行的也必須是已經簽署的請求。
一旦三者不一致,Sigil 就會阻止操作。
說到底,Sigil 並沒有要求使用者逐項批准 Agent 的所有動作,而是透過策略設定,讓使用者提前決定哪些行為可以自動完成,哪些行為必須由本人批准,且使用者可以直接選擇 Relaxed、Balanced 或 Strict 等不同安全等級,也可以進入 Custom 模式,對每類操作單獨設定規則。
以 Balanced 模式為例,部分低風險行為可以不經過額外批准,而涉及高資產安全相關的程式碼執行或終端命令,則必須經過 Sigil 確認。
至於花費資金和簽署交易,無論使用者選擇哪種安全策略,始終都需要本人批准。
這是 Sigil 不會讓步的一條邊界。
三、從 Crypto 到 AI Agent,Sigil 想守住什麼?
圍繞「What you see is what you sign」,Sigil 進一步提供了三層保障。
首先是使用者能夠準確看見自己在簽什麼。比如在 Sigil 的確認卡片中,協議、金額、接收方等參數會被解析成清晰的欄位,使用者不需要信任 Agent 的概括,也不需要面對無法理解的原始資料。
這張卡片本身就是使用者的授權內容。以開頭的 ETH 交易為例,使用者最終看到的不應只是一句「買入 ETH」,而應包括實際使用的資產和金額、交易接收方、關鍵交易參數,以及其他需要使用者理解的操作資訊。
對於現實支付場景,同樣不應只展示「確認支付」,而應清楚列出商戶、金額和收款方,畢竟展示內容越接近真實操作,使用者的授權才越有意義。
與此同時,真正能夠簽署的人只有使用者本人。這是因為 Sigil 使用 Passkey 作為批准操作的安全入口,並透過裝置生物識別確認使用者身分,因此即使有人拿到了已登入 Telegram 的裝置,能夠看到確認訊息,也不能僅憑輸入一段文字或點擊普通按鈕完成批准。
換句話說,Passkey 與使用者本人綁定,而不是與「目前拿著手機的人」綁定。值得一提的是,Sigil 同時採用無助記詞設計,使用者不需要額外保管或輸入一組新的助記詞,也不需要把錢包私鑰直接交給 Agent,真正控制批准能力的,仍然是使用者自己的 Passkey 與生物識別。
此外,Sigil 的確認頁面不是由 Agent 臨時繪製的普通訊息,而是一個經過註冊的獨立模組,其內容被固定在鏈上,並在沙箱環境中渲染。這意味著,Agent 不能在發起敏感操作之後,自行替換頁面、修改展示邏輯,或者偽造一個外觀相似的確認介面來誘導使用者簽署。
發起請求的一方,不再同時控制展示請求的介面。再配合單次簽名、較短有效期,以及對請求參數進行雜湊綁定,Sigil 可以確保確認卡片中的內容與最終等待執行的請求相互對應,使得簽名不能被長期重用,請求參數也不能在使用者批准後被悄悄更換。
只要預覽內容與實際請求不一致,操作就會被攔截。
因此把 Sigil 放在這一背景下看,它就不只是一項新的錢包功能,而是 imToken 對 Sign 命題展開的一次產品化探索,所關注的是另一個更基礎的問題:當 Agent 開始做事時,如何確保它仍然在使用者允許的範圍內行動?
在 Crypto 場景中,這種需求尤其直觀——未來鏈上 Agent 可以幫助使用者完成定期投資、收益管理、費用支付、頭寸調整和風險監控,甚至根據預設條件,在多個協議之間自動執行操作,那就更需要考慮當 Agent 行為偏離使用者預期時,能否被立即阻止。
與此同時,Sigil 的意義也並不侷限於 Crypto。目前無論是 OpenClaw、Hermes,還是未來更多運行在個人裝置和雲端環境中的 Agent,都在逐漸接入郵件、即時通訊、日曆、檔案、瀏覽器、終端、支付工具和各類線上服務。
雖然這些操作不一定發生在區塊鏈上,但它們的底層關係並沒有本質區別,那就是 Agent 以使用者的名義調用一項屬於使用者的能力。因此,Sigil 未來也可能從鏈上交易延展至資料存取、身分使用、檔案修改、內容發布、服務購買和自動化任務。
這也解釋了為什麼錢包產業過去所累積的能力,可能在 AI Agent 時代獲得新的價值——私鑰管理、數位簽名、身分驗證、權限確認和資產安全,過去主要服務於鏈上交易,但它們所處理的更本質問題,一直都是如何證明一項行動獲得了某個主體的真實授權。
當 Agent 開始大規模替人行動時,這套能力有機會從 Crypto 世界進一步延伸,成為使用者管理智慧身分、自動化任務和機器權限的一項基礎設施。
因此,作為 imToken 與 OpenClaw 的共同探索,Sigil 試圖把 imToken 過去十年在自託管、錢包和數位簽名領域累積的經驗,帶入自主 Agent 開始進入真實執行環境的新階段。
它不取代 Agent,也不取代錢包。
它站在兩者之間。
寫在最後
總的來看,AI 正在讓行動能力變得越來越廉價。
過去需要使用者在多個應用之間反覆切換,經過搜尋、填寫、確認和支付才能完成的事情,未來可能只需要一句自然語言指令,便可以由 Agent 自動拆解和執行。
但「能夠替使用者行動」與「已經獲得使用者有效授權」,始終是兩回事。
因為真正決定一個智慧系統是否值得信任的,不只是它能夠完成多少任務,而是使用者是否始終能夠理解它、限制它,並在必要時讓它停下來。從這個角度看,Sign 不是阻礙 Agent 效率的一道多餘流程,相反,它可能是 Agent 真正進入資產和現實服務之前,最重要的一層信任基礎。
Store 讓使用者擁有資產,Send 讓價值自由流動,Stake 讓使用者參與開放網路,而 Sign 要解決的,是當越來越多機器開始替人行動時,使用者如何繼續保有最後的決定權。
Sigil 的價值,也正在於把這項看似抽象的控制命題,第一次推向一個可以透過真實 demo 進行驗證和持續完善的產品。
讓我們拭目以待。