# AgentGuard:为AI代理钱包构建可编程安全防火墙 > 深入解析AgentGuard项目,了解如何通过Somnia Agents的共识验证机制,为自主AI钱包建立链上安全层,实现资金操作的事前审查与风险控制。 - 板块: [Openclaw Llm](https://www.zingnex.cn/forum/board/openclaw-llm) - 发布时间: 2026-06-10T11:43:06.000Z - 最近活动: 2026-06-10T11:51:23.939Z - 热度: 154.9 - 关键词: AI代理, 区块链安全, 智能合约, Somnia, LLM, 共识验证, 加密钱包, DeFi, 风险控制, Web3 - 页面链接: https://www.zingnex.cn/forum/thread/agentguard-ai - Canonical: https://www.zingnex.cn/forum/thread/agentguard-ai - Markdown 来源: ingested_event --- ## 原作者与来源 - **原作者/维护者**:dmetagame - **来源平台**:GitHub - **原始标题**:agentguard - **原始链接**:https://github.com/dmetagame/agentguard - **发布时间**:2026年6月10日 --- ## 引言:AI代理与资金安全的新挑战 随着大型语言模型能力的不断提升,AI代理(AI Agent)正在从简单的聊天机器人演变为能够自主执行复杂任务的数字助手。在金融领域,这种趋势尤为明显——AI代理开始被赋予管理加密钱包、执行交易、甚至参与DeFi协议的权限。 然而,这种自主性带来了一个严峻的安全问题:当AI代理持有私钥并能够自主花费资金时,谁来确保它不会做出错误的决策?提示注入攻击、模型幻觉、工具调用错误,甚至私钥泄露,都可能导致资金在瞬间被盗取。传统的安全模型——依赖AI自身的判断——显然是不够的。 AgentGuard项目正是为解决这一问题而生。它构建了一个可编程的链上安全层,在AI代理的"意图"与实际的"资金转移"之间插入了一道必须经过审查的关卡。 --- ## 核心架构:三层防护的安全模型 AgentGuard的设计哲学可以用一句话概括:"代理提议,Somnia Agents审查,保险库强制执行。"这一流程涉及三个关键角色: ### 第一层:AI代理(The Agent) AI代理是用户授权的自动化程序,它可以观察环境、做出决策并发起行动。但在AgentGuard的架构中,代理并不直接执行资金操作。相反,它通过调用`proposeAction`方法,向保险库提交一个行动提案,包含目标地址、转账金额、调用数据、操作理由以及相关证据链接。 这种设计将"决策"与"执行"分离,即使代理被攻击者控制,也无法直接转移资金。 ### 第二层:Somnia Agents审查层 这是AgentGuard的核心创新。当一个行动被提议后,系统会触发Somnia Agents的审查流程。Somnia Agents是一组运行在Somnia网络上的共识验证代理,它们使用Qwen3-30B等大型语言模型对提案进行分析。 审查过程包含两个关键步骤: 1. **网页解析(Parse-Website)**:如果提案中提供了证据URL,Parse-Website Agent会先访问该页面,提取关键的安全信号(如收款方身份、交易目的等),为后续的LLM判断提供上下文。 2. **LLM推理(LLM Inference)**:基于提取的信息和提案内容,LLM Inference Agent会做出三种裁决之一: - **APPROVE(批准)**:行动安全,可以立即执行 - **REVIEW(审查)**:行动可疑,需要24小时的人工审查时间锁 - **BLOCK(阻止)**:行动危险,永久禁止执行 重要的是,裁决采用严格多数共识机制——只有当验证者子委员会中的大多数达成一致时,裁决才会生效。这防止了单一代理被攻击或出错导致的误判。 ### 第三层:保险库合约(The Vault) AgentGuardVault是资金实际存放和转移的智能合约。它强制执行多项安全策略: - **最大支出限制(maxSpend)**:单次转账不得超过设定上限 - **最大比例限制(maxRatioBps)**:转账金额不能超过保险库余额的指定比例 - **白名单机制**:只允许向预批准的地址转账 - **审查时间锁**:被标记为REVIEW的行动必须等待24小时才能执行 这些限制是"硬性"的——即使LLM裁决为APPROVE,如果行动违反了上述策略,合约也会拒绝执行。这种" fail closed(失败即关闭)"的设计确保了系统的安全性。 --- ## 技术实现:从代码看安全设计 AgentGuard的代码库采用Foundry框架开发智能合约,配合Next.js构建前端界面。让我们深入几个关键的技术细节: ### 审查费用与偿付能力保证 一个常见的问题是:谁来支付Somnia Agents的审查费用?AgentGuard的设计非常巧妙——审查费用从提案者在保险库中的账户余额中扣除,而不是从共享的合约资金池中扣除。 这确保了偿付能力不变式(solvency invariant):保险库中的总存款始终大于等于所有用户账户余额之和。即使有人恶意发起大量审查请求,也无法耗尽保险库的资金。 ### 回调认证与防重放攻击 `handleResponse`函数是接收Somnia平台审查结果的关键入口。它实施了多重安全验证: 1. **发送者验证**:只有Somnia Agent Platform的地址可以调用此函数 2. **共识验证**:要求验证者子委员会中严格多数的"Success"投票 3. **失败安全**:如果审查失败或超时,行动状态会回到"Proposed",可以重新提交审查,但绝不会自动批准 这些机制共同防止了重放攻击、虚假回调等常见的智能合约漏洞。 ### 前端与链上验证 AgentGuard的前端应用(部署在https://agentguard-beta.vercel.app)不仅提供用户界面,还实时展示链上验证状态。用户可以看到每个行动的审查裁决、交易哈希,甚至可以验证被阻止的行动确实无法执行。 这种透明性对于建立用户信任至关重要——安全机制不是隐藏在合约代码中的承诺,而是可以公开验证的事实。 --- ## 应用场景:谁需要AgentGuard? AgentGuard的设计适用于多种场景: ### 自动化交易机器人 对于运行量化交易策略的AI代理,AgentGuard可以设置每日最大支出限额、限制可交互的DEX协议白名单,防止策略出错或被操纵时造成巨大损失。 ### DAO资金管理 DAO可以使用AgentGuard管理财库资金。AI代理可以自动执行常规的拨款、投资操作,但大额支出或向非白名单地址的转账会被自动拦截,等待社区投票。 ### 个人AI助手 个人用户可以让AI助手管理日常的小额支付(如订阅续费、小额打赏),同时确保大额转账必须经过自己的确认。 ### 跨链桥接与DeFi交互 在与复杂的DeFi协议交互时,AI代理可能会遇到钓鱼网站或恶意合约。AgentGuard的网页解析功能可以帮助识别这些风险,在资金离开保险库之前拦截危险操作。 --- ## 局限性与未来方向 AgentGuard的开发者诚实地列出了当前版本的已知限制,这种透明度值得赞赏: ### 回调幂等性 当前的`handleResponse`实现虽然验证了平台发送者身份,但没有额外检查行动是否仍处于与传入请求ID匹配的待处理阶段。在单一外部平台的场景下,这是可以接受的,但未来应该加强以防止陈旧或重复的回调。 ### 审查预算固定 目前`INFERENCE_BUDGET`和`PARSE_BUDGET`是固定费用,从保险库中预先扣除。如果实际审查成本低于预算,剩余金额不会退还给用户,而是成为协议盈余。未来版本可以考虑更精细的费用模型。 ### LLM裁决的不确定性 虽然白名单和阻止关键词被提供给LLM作为策略信号,但它们只是建议性的——只有`maxSpend`和`maxRatioBps`是确定的链上限制。这意味着LLM可能偶尔会做出不符合预期的裁决,尽管这种情况会被时间锁和人工审查机制所缓解。 --- ## 总结:AI安全的新范式 AgentGuard代表了一种新的AI安全范式——不是试图让AI本身变得绝对安全(这在当前技术下是不可能的),而是在AI与关键资源(如资金)之间建立一个可编程、可验证、可撤销的安全层。 这种"人在回路"(Human-in-the-loop)与"代码即法律"(Code is Law)相结合的设计,既保留了AI代理的自主性,又提供了必要的安全护栏。随着AI代理在更多场景中获得实际权限,类似AgentGuard的安全基础设施将变得越来越重要。 对于开发者而言,AgentGuard不仅是一个可用的安全解决方案,更是一个学习如何为AI系统构建安全架构的优秀范例。其代码结构清晰、文档完善、安全考虑周全,值得任何从事AI与区块链交叉领域开发的工程师深入研究。