AI agents 在 Web3 需要嚴格控管，不該先追捧

AI agents 在 Web3 只有在花費、簽署與存取權限被嚴格控管時才有價值。

我站在反對「全自動 Web3 AI agent」這邊。它可以做助理，但不能先被當成獨立經濟主體；一旦 agent 能直接簽交易、動用錢包、呼叫合約，它就不再只是介面，而是會立刻承擔真實財務風險的行為者。區塊鏈不會替你修正錯誤，反而會把錯誤永久記錄下來。

第一個論點：Web3 真的給了 agent 權力，所以必須先設硬限制

AI agent 在 Web3 的吸引力很直接：它能讀鏈上狀態、呼叫智能合約、管理錢包、協調多步驟操作。這對 treasury 調度、DeFi 執行、合規檢查、資安監控都很有幫助。但權力一旦放大，風險也同步放大。只要一個錢包給了過寬授權，automation 就不再是效率工具，而是損失入口。

工程上的失敗模式也不是抽象概念。nonce 管理不當會造成交易替換錯誤，角色權限沒先配置好會讓合約呼叫 revert，chain ID 判斷錯誤甚至可能把價值送到錯的網路。這些都是 Web3 團隊很熟悉的問題，但 agent 會把它們放大，因為它提高了操作頻率，也提高了執行速度。正確做法不是禁止 agent，而是把 reasoning 和 signing 分開，並在任何交易送出前強制執行 chain 檢查、function allowlist、spend cap 與撤銷機制。

第二個論點：最好的場景是受監督自動化，不是完全自治

AI agent 真正有價值的地方，是在規則清楚、風險可分級的流程裡減少重複勞動。以 DeFi 投組再平衡為例，agent 可以比人更快比較路由、估算 EIP-1559 gas、監測流動性，並先產生建議動作。合規場景也一樣，agent 可以先標記可疑錢包、聚類地址、整理證據包，交給人做最後判斷。資安場景中，它可以盯住特權角色變更或 proxy upgrade，提早發出警報。

這些案例之所以成立，是因為它們適合分層自治。低風險行為可以自動執行，高風險決策則留在人類核准之後。這比假設 LLM 能端到端安全管理一切更務實，也更符合 account abstraction 與 smart accounts 的方向。session key、spending limit、scoped permission 這些設計，本來就是為了讓委派執行變得可控。Web3 不需要更會聊天的 bot，它需要能在嚴格邊界內行動的軟體。

反方可能怎麼說

支持完全自治 agent 的人有一個很強的論點：Web3 本來就是可程式化資產、開放 API、可驗證狀態的世界，所以它天然適合讓軟體自己行動。財庫 agent 可以比委員會更快完成穩定幣再平衡，交易 agent 可以在幾秒內回應市場變化，治理 agent 可以摘要提案、追蹤投票、執行已核准動作，不必等辦公時間。既然整個系統都是 code，加入 agent 看起來就是下一步。

這個判斷有一半是對的：機會確實存在，而且 Web3 的結構也確實比傳統金融更適合機器操作。但結論錯在把「可程式化」等同於「可放手」。鏈上紀錄透明，不代表失誤可被抹平；它只代表失誤會永久存在。監管仍然要求交易、制裁篩查、資料處理與財庫控管的責任歸屬，資安也仍然依賴金鑰管理、prompt injection 防禦與最小授權。真正的答案不是拒絕自治，而是把自治限制在政策內，讓 agent 最多只能優化流程，不能自己改寫規則。

你能做什麼

如果你是工程師，把 agent 做成雙層架構：LLM 或 planner 只負責提出動作，deterministic policy engine 負責在簽署前檢查 chain、合約、金額、函式與權限。如果你是 PM 或創辦人，先從 read-only 流程開始，再往低金額動作推進，搭配 spend cap、allowlist、multisig review 與完整 log。先在失敗成本低的測試網驗證，並把每一次 agent 決策都當成 audit event。Web3 裡真正會贏的產品，不是動作最快的，而是能安全地行動、解釋、停下來的那一個。