最近在认真研究链上AI agent的安全问题,兜兜转转绕回来看到了 @NewtonProtocol ,才意识到这个项目真正难以替代的部分,可能不是vault compliance,而是它对agent授权边界的处理方式。
大概是从今年上半年开始,越来越多协议在生产环境里跑AI agent,不是测试,是真的在管资金、执行策略、跨协议操作。这里有个问题我一直想不明白:这些agent的权限到底被什么控制着?大部分情况下答案是私钥。agent拿着用户给的私钥,理论上可以签任何交易,唯一的限制是代码逻辑。代码写了什么它就能做什么,代码没防住的,它就可能做出去。
这个问题今年在prompt injection攻击里体现得最清楚。攻击者不需要破解私钥,只需要在agent处理的数据里塞进恶意指令,agent就可能被诱导执行任意操作,包括把资金转到攻击者控制的地址。OWASP在2026年的LLM安全报告里把prompt injection列为第一威胁,攻击量同比暴涨340%。更麻烦的是这类攻击没有固定特征,很难在模型层做完整的防御,语言模型本身对指令和数据的边界感知就很脆弱,不是靠过滤能根治的。
我重新翻了 @NewtonProtocol 官网的agent use case,它列出来的四项是:Spending Caps、Approved Payees、Mandate Enforcement、Prompt-Injection Defense。这四个词放在一起的时候,我停了很久。因为它们解决的不是”agent能不能访问链上资产”这个问题,而是”agent在被操控或者被利用的时候,能不能在密码学层面被拦住”。
这两件事差得很远。前者靠权限管理,后者靠执行前的强制性验证。Newton的逻辑是:不管agent的指令从哪里来,不管它的推理过程是否已经被污染,当这个指令到达执行层的时候,Newton的policy会在交易打出去之前检查它是否符合用户预先设定的规则。超出spending cap的不执行,目标地址不在approved payees列表里的不执行,与mandate不符的不执行。这些规则存在链上,由EigenLayer AVS网络里的独立操作者节点评估,每次出一个零知识证明加BLS聚合签名,结果不可篡改,链上留Authorization Receipt可查。就算agent的推理层已经被prompt injection攻破,执行层还有一道独立于模型之外的密码学防线挡着。litepaper里的原话是:spending limits enforced at the cryptographic level,destination addresses whitelisted or blacklisted。这个承诺的落点是密码学,不是代码逻辑,这才是关键区别。
这不是说Newton解决了prompt injection本身,那不现实。Newton解决的是:就算模型层被攻破,链上的资金还能有独立的硬性约束,不能被任意调走。这个切分在软件安全里有经典对应:不要只靠上游过滤,每一层都要有自己的防御。agent security的大多数讨论给的方案是输入过滤、输出验证、人工审批,这些都是软性的,依赖检测准确率,而检测本质上是在和攻击者的创造力赛跑。Newton的方向不同,它不管agent中间经历了什么,只在资金真正移动的那一刻做硬性核查。
一个我没想清楚的问题:policy要用户或协议预先定义,对高度自主的agent来说,规则颗粒度怎么设合适?太细会锁死执行灵活性,太粗等于没有边界。这不是技术问题,是产品设计问题,目前我没看到Newton给出清晰答案,可能也是Mainnet Beta阶段需要跑出来的东西。
$NEWT 的角色:gas支付、agent授权、操作者质押(misbehavior被slash)、治理投票,全走NEWT,类EIP-1559费用机制。总量10亿,当前流通约2.2亿,后续释放压力客观存在。代币能不能撑住,看接入agent数量和receipt产生频率比看价格图有意义。
链上agent规模现在还小,但趋势每个季度都在涨。Newton如果能在这个窗口期把authorization layer的位置占稳,后面进场的东西会很难绕开它。但这还是个如果,验证期才刚开始。
