ERC-8126：以太坊新标准为AI Agent提供「安全体检报告」

正文：

原文作者：Don Johnson，ERC-8126 共同作者

导读：AI Agent 在钱包管理、交易执行及代码部署方面的应用日益广泛，但用户缺乏标准化的方式来验证这些 Agent 的安全性。ERC-8126 旨在填补这一空白。该标准建立在 ERC-8004 身份注册基础上，定义了五个验证层级（代币、媒体内容、代码、Web 端点、钱包），并利用零知识证明技术保护用户隐私，最终生成一个 0-100 的统一风险评分。作者 Don Johnson 是该标准的共同创作者，来自 Virtuals Protocol 生态。

介绍 ERC-8126：AI Agent 的认证层。

规范地址：https://eips.ethereum.org/EIPS/eip-8126

该标准的作者包括 Leigh Cronian 和 Chris Johnson，Cybercentry 与 Virtuals Protocol 共同参与撰写。

AI Agent 正在迅速融入数字经济，执行代码、管理交易及钱包，并与用户互动，甚至与其他 Agent 协作。然而，目前仍存在一个未解决的问题：尽管我们拥有完善的体系来验证个人、企业、网站和软件，但却缺乏通用框架来验证 AI Agent 的可信性。

ERC-8126 在 ERC-8004 的 Agent 注册机制上建立，提出了一套标准化的验证框架。AI Agent 可通过独立的验证服务提供商证明其可信性，同时借助零知识证明来保护隐私。

用户在判断一个 AI Agent 的可信度时，手段一直非常有限。一些看似简单的问题，往往没有明确的答案：

现有的解决方案零散且不统一，大多依赖于声誉。当 Agent 开始管理更大规模的资金、执行更多自主交易并接入关键系统时，仅凭声誉无法支撑整个生态，因此需要一套共同的验证框架。

ERC-8126 为通过 ERC-8004 注册的 AI Agent 提供了标准化的验证接口。它并未设立单一的验证权威，而是允许多个专业验证服务商形成市场。每个服务商可以采用自己的评估方法，但所产生的认证（attestation）是可互操作的，应用、市场、钱包及各种 Agent 生态均可直接使用这些结果，从而构建出一个可移植的 AI Agent 验证层。

验证服务商直接从 ERC-8004 身份注册表中解析 Agent 元数据，并执行一系列专项验证。结果可以转化为隐私保护的认证，发布至 ERC-8004 的验证注册表，从而在整个生态中形成可发现、可验证的信号。

当 Agent 元数据中包含合约地址时，ETV 将验证该智能合约的合法性和安全性。服务商通过调用 eth_getCode 确认合约确实部署在对应链上，并确保返回的字节码非空，同时对照已知漏洞模式进行检查。Agent 可能关联代币、合约、质押机制或其他链上系统，若合约不存在、被虚假陈述或存在明显漏洞，用户和其他 Agent 在交互前必须知悉这些信息。ETV 有助于确认 Agent 是否具备合法的链上足迹，让用户明白支撑该 Agent 的经济基础。

MCV 验证与 Agent 关联媒体的真实性、来源及完整性。随着 Agent 越来越多地出现在公众视野，媒体成为身份的一部分：头像、生成内容、品牌素材及公开发布的内容都将影响用户的信任度。MCV 检查的内容包括篡改痕迹、合成媒体、深度伪造、嵌入元数据、数字水印、隐写载荷及数字签名，并可接入 C2PA 等成熟的内容真实性框架。随着 AI 生成内容变得愈加逼真，验证其真实性的重要性也随之上升。

当解析出的元数据包含 Solidity 代码时，SCV 将验证代码的合法性和安全性。服务商需要确认代码与链上部署的字节码相符，并检查重入攻击、不安全外部调用、闪电贷攻击等常见漏洞。Agent 可能自行运营智能合约，也可能在服务过程中与合约交互，一旦绑定了有漏洞的代码，风险将直接影响用户、资产及其他 Agent。SCV 为生态提供了在 Agent 层面评估智能合约安全信号的标准方法。

WAV 检查 Agent 的 Web 端点是否可访问且安全。Agent 通常会暴露网页界面、API、仪表盘或各种端点，这些都可能成为攻击面。被攻陷的 URL 可能用于钓鱼用户、分发恶意内容或操控 Agent 行为。WAV 验证 HTTPS 端点的响应、SSL 证书的有效性，并检查常见 Web 安全漏洞，建议遵循 OWASP Web 安全测试指南等成熟框架。许多用户接触 Agent 的第一步通常是在其网站，而不是钱包或合约。因此，WAV 的作用相当于判断这扇门是否安全。

WV 确认钱包的所有权，并评估 Agent 钱包的链上风险画像。服务商会检查钱包的交易历史，并与威胁情报数据库进行对照，以识别与恶意行为、可疑活动、诈骗或被攻陷基础设施相关的钱包。Agent 钱包是 Agent 身份中至关重要的一部分，可能控制资金、签名消息、授权任务、收取款项以及与其他 Agent 交互。钱包风险高，则 Agent 风险也高。WV 为用户和系统提供标准化的评估方法。

验证过程通常需要接触敏感信息，如源代码、基础设施细节、专有数据等，机构不愿意公开这些信息是可以理解的。

ERC-8126 通过私有数据验证（PDV）与零知识证明的结合，解决了这一矛盾。验证服务商可以审查敏感信息并完成分析，随后生成加密证明以证实结论，但不暴露底层数据。换句话说，一个 Agent 可以证明其通过了安全审查，而无需公开任何机密的基础设施或专有信息。这提升了验证的强度，同时保护了隐私。

每项适用的验证类型都会返回一个 0 到 100 的分数，整体风险评分则取各项的平均值。标准明确了风险分级：

这种评分模型使验证结果易于理解：不同 Agent 可以直接比较，风险类别一致，信任信号可直接用于决策，并且跨平台互操作。应用程序还可以展示各分项的独立得分，让用户了解具体的风险来源。

ERC-8126 还引入了可选的量子加密验证（QCV）。随着量子计算的发展，传统加密体系可能面临新的安全挑战。QCV 提供了一个可选框架，允许服务商使用抗量子方案加密敏感的验证记录，确保验证数据的长期安全。虽然目前它是可选的，但它体现了 ERC-8126 的设计思路：验证基础设施应能够随着技术进步而演变。

ERC-8126 刻意将验证标准与具体实现分开。没有中心化的权威，任何服务商均可实现符合标准的验证服务。

这种设计促成了服务商之间的竞争、专业化分工、地域灵活性、更优的定价，以及持续的创新。正如多家证书颁发机构共同支撑了 Web 的安全性，多家验证服务商也能为 Agent 生态的健康与韧性提供支持。

行业花费数年时间构建 Agent「存在」的基础设施，现在亟需建立 Agent「可验证」的基础设施。仅有身份是不够的。一个 Agent 可能拥有名称、钱包和链上身份，但其运行方式仍可能处于不安全状态。它能够执行交易、与用户互动，甚至营收，但用户却可能面临隐藏的风险。验证必须成为首要任务，而这正是 ERC-8126 所扮演的角色。

标准化的验证、可移植的认证、隐私保护的证明以及透明的风险评分共同让「信任」变得可互操作。一个 Agent 在某一生态中完成的验证，可以将这一信任信号带入另一生态。市场对 Agent 的评估，无需重新进行整套验证流程。用户即使不深入了解每个技术细节，也能做出知情决策。