Sigo volviendo a una distinción que se siente fácil de pasar por alto en las conversaciones sobre cripto e IA.
Dar a un agente de IA una billetera no es lo mismo que decidir qué se le permite realmente hacer con ella.
Una es el acceso.
La otra es un límite.
Ahora mismo, muchos montajes de cripto con agentes parecen tener la primera parte pero no la segunda. Una billetera se financia; un agente obtiene la capacidad de firmar, y el resto es sobre todo confianza. Confianza en que el modelo se comportará como se pretende. Confianza en que los prompts serán seguros. Confianza en que la lógica no se desviará. Confianza en que un exploit de un fallo o una entrada externa incorrecta no empujarán al sistema a una acción que nadie pretendía autorizar.
Ese modelo empieza a parecer frágil en el momento en que los agentes dejan de actuar como asistentes y empiezan a actuar como operadores.
Un agente que solo resume información o redacta ideas de operaciones es una cosa. Un agente que puede ejecutar un intercambio, mover tesorería con fondos, reequilibrar una posición o interactuar con un protocolo por sí mismo es otra cosa completamente distinta. Una vez que el agente puede iniciar acciones reales en cadena, la pregunta ya no es solo si tiene una cartera.
La pregunta real es esa.
¿qué se le permite hacer a esa cartera antes de que el valor realmente se mueva?
Esa distinción importa porque una cartera no entiende la intención.
Una cartera puede verificar firmas. Puede mantener fondos. Puede firmar transacciones si hay disponible la clave correcta. Pero no sabe si una operación propuesta encaja con un mandato de tesorería, si una transferencia excede un límite de riesgo, o si el agente está interactuando con un contrato al que nunca debería haber tocado en primer lugar.
Desde la perspectiva de la cartera, una transacción suele ser solo algo que firmar si la clave está disponible. No sabe la diferencia entre un agente que actúa dentro de la política y un agente que hace algo que nunca se le debería haber permitido.
Ahí es donde creo que la conversación actual sobre agentes de IA en cripto todavía se siente incompleta.
Muchísima atención se pone en dar a los agentes más capacidad, más herramientas, más derechos de ejecución, más autonomía. Pero la capacidad sin límites crea un modelo de seguridad muy extraño. El sistema se vuelve cada vez más automatizado mientras que la capa de control a menudo permanece muy delgada. Si el agente tiene permisos amplios de cartera, una inyección de prompt, un error de estrategia, una mala integración o un simple bug pueden producir igualmente una transacción perfectamente válida en cadena.
“Válido” es la palabra importante ahí.
Porque la blockchain no verá nada malo en absoluto.
La firma puede ser correcta.
La cartera puede tener los fondos.
La llamada al contrato puede ser ejecutable.
La transacción puede ser técnicamente válida.
Y aun así, puede ser una transacción que el humano detrás de ese agente nunca quiso permitir.
Por eso pienso que la infraestructura de agentes necesita algo más sólido que el acceso a la cartera. Necesita una forma de separar la capacidad del agente para proponer una acción de la decisión del sistema sobre si esa acción realmente puede ejecutarse.
Aquí es donde Newton empieza a tener sentido para mí.
Newton está construido como una capa de autorización que se sitúa entre la intención de la transacción y el ajuste en la blockchain. En lugar de asumir que cualquier acción propuesta por la cartera debería pasar directamente a la ejecución, Newton inserta una comprobación de política antes de que el valor se mueva. Primero se evalúa la transacción y solo si cumple las reglas definidas, continúa hacia la liquidación.
Para un agente de IA, eso cambia bastante el significado del acceso a la cartera.
La cartera aún puede existir. El agente aún puede proponer acciones. Pero la transacción ya no depende solo de si el agente tiene la clave o de si la transacción es técnicamente válida. También depende de si la acción encaja con las reglas definidas alrededor de ese agente.
Ese es un modelo mucho más útil.
Significa que un agente puede operar con límites de permiso, en lugar de un poder de firma amplio y sin límites.
Esos límites podrían verse como.
solo interactuar con protocolos aprobados
solo enviar fondos a contrapartes aprobadas
límites diarios u horarios de gasto
umbrales de tamaño de transacción que activan una aprobación adicional
restricciones sobre activos, sedes o acciones específicas
reglas que bloquean actividad fuera de un alcance de estrategia definido
Lo que importa no es la política específica. Lo que importa es dónde vive la política.
En una configuración de agente débil, el límite vive principalmente dentro del modelo, del prompt o de la lógica de aplicación alrededor de él. Esperas que el agente siga las instrucciones porque así fue diseñado.
En una configuración más sólida, el límite está fuera del agente y comprueba la transacción antes de la ejecución.
Ese es el cambio que encuentro más interesante en Newton.
El agente todavía puede ser útil, flexible y rápido. Pero el sistema ya no tiene que confiar solo en el agente para definir los límites de su propio comportamiento. La capa de autorización puede actuar como un plano de control separado entre la intención del agente y el movimiento de capital.
Eso cambia dónde se deposita la confianza.
En el modelo anterior, la confianza se concentra dentro del propio stack del agente: el modelo, el prompt, la lógica de orquestación y los permisos de la cartera asociados a este.
En el modelo de Newton, la confianza se desplaza hacia una capa de política externa al agente. El modelo todavía puede generar ideas y proponer transacciones, pero la decisión sobre si esas acciones satisfacen los límites permitidos se comprueba en otro lugar antes de la ejecución.
Creo que esa separación importa porque hace que el sistema sea más resistente a exactamente lo que los sistemas “agentic” tienen mal en evitar comportamientos inesperados.
Un agente no necesita ser malicioso para crear riesgo. Solo necesita equivocarse una vez en un contexto en el que la cartera tenga demasiada libertad.
Por eso no creo que la pregunta más útil sea si el agente puede usar una cartera.
La mejor pregunta es qué pasa cuando el agente intenta hacer algo fuera del límite que se le dio.
Si la respuesta es nada, mientras la transacción sea válida y la clave pueda firmarla, entonces el sistema aún depende demasiado de que el agente se comporte perfectamente.
Si la respuesta es que la transacción falla porque no cumplió la política de autorización, entonces es un nivel de control totalmente diferente.
Newton no resuelve cada parte del problema de los agentes de IA. No decide si la estrategia de un agente es buena, si su razonamiento es sólido o si sus suposiciones de mercado tienen sentido.
Lo que puede hacer es algo más acotado y, en algunos sentidos, más importante.
Puede ayudar a definir el espacio dentro del cual se le permite actuar a un agente antes de que la transacción llegue siquiera a la liquidación.
Para mí, esa es la verdadera importancia del modelo.
El objetivo no es hacer al agente más inteligente.
La idea es evitar que el acceso a la cartera se confunda con permiso.
Porque esas no son lo mismo.
Una cartera le da a un agente la capacidad de actuar.
Una capa de autorización puede decidir si esa acción realmente debería permitirse que ocurra.
Y a medida que más agentes empiecen a manejar capital real en cadena, esa distinción empieza a sentirse menos como una agradable mejora de seguridad y más como una pieza básica de infraestructura financiera.

