El mercado ha estado derivando en los mismos rangos toda la semana, así que en vez de quedarme mirando gráficos me metí en uno de esos agujeros de conejo de desvelados; esta vez fue el Protocolo Newton y todo el tema de zkPermissions, de lo que todo el mundo habla como "agentes de IA sin confianza".
Así que empecé a investigarlo por curiosidad, sobre todo porque no paro de ver la frase "zero knowledge" (conocimiento cero) que se menciona como si fuera una palabra mágica que automáticamente significa seguro. La propuesta de Newton es que dejes que un agente de IA negocie, se reequilibre o pague tus suscripciones por ti, y en lugar de entregar tu clave privada como harías con algún bot sospechoso de Telegram, estableces reglas que solo se ejecute la operación si el deslizamiento está por debajo del 0,5%, por ejemplo; y el agente tiene que demostrar criptográficamente que las siguió.
De acuerdo, bien, eso suena genial. Pero entonces leí cómo ocurre la ejecución y algo hizo clic en mí que no esperaba.
Esta es la parte que la gente pasa por alto: el agente no se ejecuta dentro de la blockchain en algún sentido puramente matemático. Se ejecuta dentro de un entorno de ejecución confiable (Trusted Execution Environment), básicamente una pieza de hardware aislada, y luego se genera una prueba de conocimiento cero para demostrar que la salida coincidió con tus reglas. Al principio asumí que la prueba ZK era lo que detenía el mal comportamiento en tiempo real. No es así, en realidad. Es más como un recibo. La comprobación de reglas ocurre primero dentro de una caja negra y la prueba sirve para verificar la tarea de esa caja negra después de los hechos.
Esa es la parte que me molesta un poco. Porque el atractivo de todo el conocimiento cero, la automatización con confianza mínima, debería ser que no tienes que confiar en nadie. Pero en cierto modo sí: estás confiando en que el propio hardware TEE no haya sido comprometido, en que el enclave no filtre información, en que el modelo de seguridad del fabricante del chip se mantenga. Las pruebas ZK son increíbles para demostrar que esta salida es consistente con esas reglas.
No están diseñados para impedir que un agente haga algo raro dentro del enclave antes de que incluso se genere la prueba. Así que la verdadera raíz de la seguridad aquí no es la criptografía: es la integridad del hardware, y el hardware tiene un historial mucho más enrevesado que las matemáticas. Los ataques por canal lateral del lado del enclave no son hipotéticos; ya han ocurrido antes, en infraestructura mucho más escrutada que una capa de automatización DeFi.
No estoy diciendo que esté roto ni que el equipo no haya pensado en esto; claramente combinan TEEs y pruebas ZK específicamente porque cada uno cubre un hueco que el otro no cubre. Pero cuando el marketing dice verificable, creo que la gente escucha garantizado, y no son lo mismo. Verificable significa que puedes detectar una violación después de que ocurrió. No significa que la violación no pudiera haber ocurrido.
Donde esto realmente importa, creo, es menos para alguien que hace una compra recurrente simple y más para DAOs que otorgan permisos de tesorería de varias partes a agentes, o para cualquiera que apile varias automatizaciones una encima de otra. Cuanto más complejo es el conjunto de reglas, más superficie de ataque hay entre lo que hizo el enclave y lo que dice la prueba que hizo.
En fin. No creo que esto haga a Newton algo de forma única y especialmente riesgoso en comparación con otra infraestructura de agentes; más bien es que el enfoque me incomoda. Probablemente seguiré hurgando en cómo su Keystore rollup maneja la revocación de permisos antes de confiarle cualquier cosa real. El mercado sigue plano; quizá solo vaya a mirar gráficos otra vez.

