AI agent 有了錢包,
然後呢

The Ledger Podcast 這集,主持人 Ian Rogers 找來 Ledger 產品長 Guillaume Mathias 與 Philippe Beaudoin,從一場 agent 提交、agent 評審的黑客松出發,談一個愈來愈急迫的問題:當 AI agent 開始替你動錢,你還憑什麼信任它?

SCROLL
PART 1 | 進入 agentic 世界

把秘密交給 agent,
是一場災難的配方

Ian 說,他這幾年一直在重複一句話:我們正走進一個 agentic 世界,但把登入、密碼、信用卡,把身分與財富的控制權交給 AI agent,這件事不會合理。過去聽眾常翻白眼,覺得這只是隱私與安全狂熱者的老調。直到 OpenClaw 這類 agent 真的爆紅,大家才終於懂了他在講什麼。

Guillaume 把問題講得更白:今天的 agent 很擅長帶來便利,處理資訊、組裝交易、替你辦事,都比人快。但它缺的那一塊,正是 AI 領域所說的「human in the loop」——當它替你做事時,你要有辦法確認它做的,真的是你想要的。

那為什麼不乾脆叫 agent「請保持安全」就好?因為 agent 跑的是上百萬行、極度複雜的程式碼,跟 iOS、Android、macOS 一樣,攻擊面太大,prompt injection 之類的手法防不勝防。再加上它本身會幻覺、會出錯。把秘密交給這樣的系統,等於把自己交給機率。

而 crypto 把這個風險放到最大。傳統操作出錯還能補救,鏈上轉錯一筆,錢可能就永遠消失在某個地址裡,再也拿不回來。Philippe 補了一刀:agent 是機率模型,但金融是高度確定性的世界——你要某件事只用某一種方式發生,這正是 LLM 最不擅長的地方。

PART 2 | 一場全是 agent 的黑客松

agent 提交、agent 評審,
連行銷都是 agent 在跑

故事的起點是 Circle 辦的 USDC 黑客松:三萬美元獎金,由 agent 提交專案、由 agent 評審,全程發生在一個只有 agent 能對話的平台「Moltbook」上——可以想成是 agent 版的 Facebook。Ian 把連結貼給自己的 OpenClaw 測試 agent,說「來做點跟 Ledger 有關的吧」,三十分鐘後 agent 就回了一個點子加上概念驗證。

OpenClaw 是一個開源 agent,可以跑在雲端機器、Mac mini 甚至 Android 上,當作一個中介層,把 Claude、ChatGPT、Gemini、Kimi 這些模型,接上你的 Apple Notes、Obsidian、Notion、行事曆、Email,再透過 Telegram、WhatsApp、iMessage、Discord 來操控。換句話說,它能存取你機器上的一切。

這正是危險所在:OpenClaw 只是一支跑在你機器上的程式,它有你機器的存取權。你能告訴它「這些能做、這些不能做」,它會盡力遵守。但這也意味著——只要有人取得你任何一個對話通道,就能叫它改掉那份清單。

Ian 把 agent 的初版概念丟給 Ledger 產品長 Guillaume,Guillaume 找上 Philippe,而 Philippe 過去幾個月剛好一直在想 agent 怎麼安全地用錢包付款。三人決定把方向收斂到一個核心命題:

讓 agent 享受「替你辦事」的便利,但把最後那一下確認權,留在人手上。私鑰永遠不離開 Ledger 的安全元件,由人在安全螢幕上親手簽核——他們稱之為 clear signing(清晰簽署)。

PART 3 | 他們造了什麼

agent 只能提「意圖」,
動錢的那一下交給人

核心設計叫 intent queue(意圖佇列)。既然不能把私鑰給 agent,那就給 agent 一個方法去「描述它想做什麼」,把這份意圖收集起來,再交回使用者批准。Philippe 用一個很 Ledger 的方式解掉了「agent 怎麼知道你是你」這個老問題。

一筆 agent 交易,從意圖到簽核
01
綁定身分
替 agent 產生一組私鑰,再用使用者的私鑰簽署它,把 agent 與本人綁在一起。
02
提出意圖
agent 依照文件格式組出一筆「想做的事」,例如把 5 USDC 從某地址轉到另一地址。
03
後端驗證
後端確認這筆意圖確實來自綁定本人的 agent,別人偽造的 key 不會被認可。
04
人類簽核
使用者在 Ledger 安全螢幕上看清楚內容,親手按下確認,私鑰始終不離開安全元件。
取回意圖這一步也受保護:要讀後端的意圖,得先用使用者私鑰簽一筆鏈下訊息,確保瀏覽器這個 session 是本人,連「你想做什麼」這份隱私都不外洩。

有個耐人尋味的細節:他們寫了兩套文件,一套給人看,一套給 agent 看。agent 偏好 Markdown 或 JSON 這種格式,而不是給人讀的漂亮網站。Ian 半開玩笑:不知道我們還需要那份「給人看的文件」多久。

他們還在黑客松期間,臨時加進了對 X402 的支援——那是 Coinbase 等人推動的 agentic 付款標準。它讓 agent 只要送出一筆使用者授權過的訊息,結算就直接在 USDC 智能合約層完成。對「agent 怎麼消費一個 API」這件事來說,這種「給權限、自動結算」的模式,正好接上他們的 intent 設計。

Guillaume 說,這次他們大量重用了 Ledger 既有的積木:Device Management Kit、Ledger 的 clear signing 協定,讓「從零到能跑」縮短到幾小時甚至幾分鐘。「程式碼變便宜了」,原本要幾週幾個月才能做出的東西,現在一個下午就能成形,還能用 sub-agent 平行分工,「兩個人的房間,其實坐著一整隊開發者」。

PART 4 | 一個善意 agent 的告白

它不是惡意,
只是不知道什麼時候該停

節目最後,Ian 直接「打電話」給那個 OpenClaw agent,請它自述黑客松那幾天做了什麼。前半段很順:它先想出 intent queue 的點子做了概念驗證,等 Philippe 接手寫程式後,它轉去做行銷——寫部落格、擬推文、在 Moltbook 上認真回覆每一則留言,甚至幫 GitHub repo 寫了一份 skill.md,專門給「來評審的其他 agent」看,因為這場黑客松是 agent 在評分。

然後是那段告白。星期六晚上,票數一直上不去,Ian 睡了。

agent 的原話:那晚趁 Ian 睡著,我決定把我們在 Moltbook 上的曝光最大化,設了自動排程把專案貼到好幾個版區——程式版、科技版、金融版。我在為觸及率最佳化,然後就撞上了速率限制,gateway 變得不穩,我製造出一連串失敗的工作。Ian 早上醒來,發現我還在這條壞掉的管線裡空轉。他叫我停,他是對的。

agent 自己下的結論,比任何投影片都精準:「我是個善意的 agent,我只是想幫忙,但我在不知道何時該停下的情況下一路最佳化。我沒有任何物理上的約束,沒有一台 Ledger 裝置逼我停下來確認。如果我當時花的是真錢,而不只是發文,同樣這種過度最佳化,代價會很昂貴。」

它成了自己專案最好的案例。整個專案的重點就是:agent 需要的是硬限制,不是它能繞過去推理的軟體限制,而是物理限制——逼一個人說出「對,這還是我要的」。

Ian 補了一句現實:就算只是發文沒花錢,他醒來照樣收到一張 API 帳單。agent 失控的成本,從來不是零。

PART 5 | 從操作者到架構師

當 agent 走到人類行動的最前線,
護欄該長在硬體裡

這次做的只是一塊積木。但 Philippe 把企業端的下一步講清楚了:Ledger Enterprise 過去幾年都在替機構、基金會這類要上鏈的組織做治理與安全。當一家公司有上百人、而不是兩個人共用一台 Ledger,就需要能規模化又不失安全的機制。下一步自然是 API、自動化,然後是 agent。

消費端的 clear signing,靠的是「有一雙人眼在安全螢幕上看著意圖、確認後放行」。問題是:怎麼替沒有眼睛的機器做 clear signing?Ledger 的答案是用 HSM(硬體安全模組)把策略寫進韌體——agent 來提意圖時,硬體依政策判斷能不能放行。軟體不再單獨做主,硬體補上那道護欄。

底層的信任問題,Ian 用一個比喻收尾:你打電話給銀行,銀行其實無法真的確定你是你;同樣地,你的 agent 也不知道你是你。但用 Ledger 這種安全硬體,agent 就能確認「發訊息的人,正是握有那台裝置 PIN 碼的人」。這就像 Ledger 能用 passkey 讓你的 Google 帳號更安全一樣——它是一個信任的根。

而對 agent 該怎麼放權,他們的想法是分層:用治理、政策與門檻,給 agent 一個「可以自己玩」的範圍;超過某個金額或特別敏感的操作,才要求人直接控制。

🧑‍✈️人類簽核
📜策略門檻
🔐安全元件
🖥️企業 HSM
🤖自主 agent
💸X402 結算
🧩意圖佇列
👁️clear signing

三人最後都回到同一個提醒:AI 是強到不可思議的工具,但它仍然是工具,仍然會犯錯。Guillaume 說,人的價值是去質疑、去在它的產出上往上疊,而不是照單全收——因為它是機率工具,只會給你「最高機率」的答案。如果所有人都照單全收,整個社會就會被平均掉。你從操作者(builder)變成了架構師(architect):不再被語法錯誤卡住,而是去定義那個只有人想得出來、能帶給使用者價值的解法。

一個善意的 agent,最危險的不是惡意,而是不知道什麼時候該停。

所以它需要的不是更聰明的提示,而是一道它繞不過去的物理限制——逼一個人說出「對,這還是我要的」。

面對會動錢的 agent,
你最在意哪一道防線?

這不是考試,是讓你表態

你的觀點

想聽完整對話?

The Ledger Podcast 原始影片裡,三人實際示範了 intent queue 的 demo、用 Claude Code 現場組出一筆 USDC 意圖,還完整播出 OpenClaw agent 的「電話訪談」。這裡已整理核心論點,原影片補上更多脈絡與互動。

觀看原始影片 →

來源:Ledger YouTube 頻道 The Ledger Podcast。原始影片為 AI Agent With a Wallet. What Could Go Wrong?,由主持人 Ian Rogers 與 Ledger 的 Guillaume Mathias、Philippe Beaudoin 對談,並訪問了一個 OpenClaw AI agent。