以太坊推动“所见即所签”：为何 Clear Signing 是 AI 时代不可或缺的能力升级？

正文：

在过去的很长一段时间里，关于钱包安全，我们常常听到的两大建议是：妥善保管助记词，谨防钓鱼链接。

在自我托管的钱包中，助记词和私钥始终代表着对资产的控制权，其重要性不言而喻。然而，随着 AI Agent 开始在钱包、交易、支付和链上执行场景中应用，一个新的问题逐渐显现：即使私钥未遭泄露，资产也可能因为错误的授权、误导性的签名或污染的自动化指令而被转移。

换句话说，钱包安全的关注点正在从“谁能控制资产”转向“资产是如何被动转移的，这种转移是否符合用户的真实意图”。

而这正是 Clear Signing 在 5 月 12 日被进一步纳入以太坊开放标准化进程的关键原因。客观而言，它要解决的并不是全新的问题，而是加密世界中长期存在的老问题：很多用户并非不重视安全，而是在确认之前根本无法理解自己签署的内容。

众所周知，得益于 AI Agent 的发展，Web3 中的链上交互正在向自然语言靠近。

例如，过去用户需要打开 DApp、连接钱包、选择路径、确认授权并发起交易，每一步都需用户亲自操作并确认。而未来，这一流程可能会大幅简化为一句话：帮我找到收益更高的稳定币池，或在领取空投后兑换成 ETH 等等。

从用户体验来看，这无疑是一次进步。AI Agent 能够帮助用户理解信息、拆解步骤、生成交易，从而提高效率，甚至在特定权限下自动完成操作。

在这种情况下，决定资金流向的，不仅仅是用户本人，还可能包括 Agent 的理解、外部数据源等多个环节。只要其中任一环节受到污染，用户看到的“帮我执行”就可能转变为攻击者想要的“替我转账”。

近日，有攻击者通过 X 平台的 prompt 注入，诱导 AI Agent 系统执行异常转账，涉及 30 亿枚 DRB 代币，价值约为 15 至 20 万美元。这类事件的核心并非传统的私钥泄露，而是 AI 系统如何理解输入、获取权限以及如何将指令传递给链上执行的问题。

这证明了攻击者并不需要直接攻破钱包，只需让 Agent 在过高权限下错误地将恶意输入视为有效命令，便可能导致资金损失。

在传统互联网场景中，AI 被注入的影响可能仅表现为回答错误、泄露上下文或执行错误的 API；但在加密场景中，一旦 Agent 连接钱包、获得授权并能够发起交易，错误的指令便可能直接转化为链上转账，而链上交易是不可逆的，这使得 AI Agent 的安全问题不仅仅局限于“模型安全”，更涉及到资产安全。

因此，在 AI Agent 时代，钱包安全的解决方案不能仅依赖于“AI 更聪明”。真正的关键在于，在 Agent 生成交易与用户确认签名之间，必须有一层足够清晰、可验证且易于理解的安全界面。

对普通用户而言，钱包中最熟悉的操作无疑是“确认”。

连接 DApp 需确认，进行 Swap 需确认，代币授权需确认，跨链需确认，领取空投需确认，质押、借贷或铸造 NFT 也都需要确认。

问题在于，许多确认页面并未真正告知用户“确认后会发生什么”。

用户常常看到的只是一串函数名，或是一堆难以理解的十六进制数据，甚至仅是一个模糊的 Approve 或 Sign Message。这些信息从技术上看可能并无错误；但对大多数用户而言，它们未能形成有效的判断。

盲签并不意味着用户完全没有查看，而是他们所看到的信息不足以支持判断，就像你准备签署一份合同，但合同内容用你无法理解的语言书写，最后只露出一个“同意”按钮，你当然知道自己在签字，却并不清楚签字后将承担什么后果。

以太坊基金会在关于 Clear Signing 的公告中也强调，许多重大攻击的最后一步并非源于代码漏洞，而是用户批准了一笔他们无法真正理解的交易。如果交易确认本应是用户控制资产的最后一道防线，那么盲签便会使这道防线失效。

因此，如果说过去几年的账户抽象在解决“如何更方便地执行”，那么 Clear Signing 则关注“如何在执行之前更清晰地验证”。这两者其实是相辅相成的——因为没有更好的签名解释，越复杂的自动化执行和越强大的账户能力，可能带来更大的误操作空间。

ERC-7730 正是在此背景下提出的，根据 EIP-7730 提案的描述，它是一种用于 Clear Signing 的结构化数据格式，通过 JSON 文件补充 ABI 与消息类型之外的信息，将原始交易数据转化为更易于人类验证的展示内容，同时也便于交易模拟等机器系统直接使用。

简单地说，ERC-7730 并不改变链上交易本身，而是在交易与用户之间增加了一层标准化的解释。例如，过去钱包只能展示函数选择器和参数，而引入 ERC-7730 后，用户将能看到具体的可读操作内容。

在此基础上，任何支持 ERC-7730 的钱包都可以将原始函数选择器和整数参数展示为“以至少 0.42 WETH 交换 1,000 USDC”这样的可读内容。这看似只是用户界面层面的改进，但实际上是安全能力的根本提升：

用户只有看懂交易内容，确认才有实际意义；而钱包必须能够将交易意图结构化地展示出来，用户才有机会在签名前发现潜在问题。

这再次强调了我们近期持续提到的可验证用户界面（Verifiable UI）。

如果说 Clear Signing 的目标是让用户明白自己所签署的内容，那么 Verifiable UI 旨在进一步解决的问题是：用户所看到的内容是否能与真实链上执行建立可信的对应关系？

许多用户习惯于相信 DApp 的前端，页面上写着领取奖励，他们便认为自己在领取奖励；页面上写着质押，他们就认为自己在质押；页面上写着安全验证，他们就以为仅是在验证身份。

然而，真正能够动用资产的，却是钱包中最终签署的交易，而非网页上的按钮。

DApp 前端可能遭到攻击，域名可能被仿冒，页面文案可能被伪装，甚至 AI Agent 读取的信息也可能来自被污染的网页或社交内容。如果钱包仅机械地弹出一个确认按钮，用户仍处于“相信前端”的状态。

这也是 imToken 计划支持 ERC-7730，推进可验证用户界面与 Clear Signing 的重要意义。

这不仅仅是简单地在确认页面增加几行文字，而是让钱包从“交易的最后一步”转变为“签名前的最后一层验证”。当用户或 AI Agent 准备发起交易时，钱包应尽可能告知用户这笔交易实际调用的是哪个合约，转出的是什么资产，授权对象是谁，授权范围有多大，以及最终结果是否与页面展示一致。

来源：Odaily星球日报