Agent 时代会进一步放大「盲签」问题——点击确认之前，你真的了解这笔交易会发生什么吗？

撰文：imToken

过去很长一段时间里，谈钱包安全，我们最常被提醒的主要是两件事：保管好助记词，不要点击钓鱼链接。

因为在自托管钱包里，助记词 / 私钥始终意味着资产控制权，重要性怎么强调都不为过。只是，随着 AI Agent 开始进入钱包、交易、支付和链上执行场景之后，一个新的问题正在变得越来越重要，那就是即使你的私钥没有泄露，资产也可能因为一次错误授权、一次误导性签名，或者一次被污染的自动化指令而被转走。

换句话说，钱包安全正在从「谁能控制资产」进一步走向「资产为什么被动、以什么方式被动、是不是符合用户真实意图」。

而这也是 Clear Signing 在 5 月 12 日被进一步推向以太坊开放标准化进程的关键原因，客观地讲，它要解决的不是一个新问题，而是加密世界长期存在的老问题：很多用户并不是不重视安全，而是在点击确认之前，根本看不懂自己到底签了什么。

一、AI Agent 时代，Web3 安全边界正被悄然拉长

众所周知，得益于 AI Agent 的出现，Web3 链上交互也正朝着更接近自然语言的方向发展。

譬如过去你想完成一笔操作，需要自己打开 DApp，连接钱包，选择路径，确认授权，发起交易，每一个步骤都需要亲自操作并弹窗确认；而未来，这套流程可能会被大幅精简为一句话：帮我找一个收益更高的稳定币池子、帮我把空投领了之后换成 ETH 等等。

从体验上看，这当然是进步。AI Agent 可以帮用户理解信息、拆解步骤、生成交易、提高效率，甚至在一定权限范围内自动完成操作。

但效率提升的另一面，是安全边界被拉长了。

因为此时真正决定资金流向的，不再只是用户本人，还可能包括 Agent 的理解、外部数据源等多个环节，只要其中某一环被污染，用户看到的「帮我执行」就可能变成攻击者想要的「替我转账」。

近期就有攻击者通过 X 上的 prompt 注入，诱导 AI Agent 相关系统执行异常转账，涉及 30 亿枚 DRB 代币，估值约 15 万至 20 万美元，这类事件的核心并非传统私钥泄露，正是 AI 系统如何理解输入、如何获得权限、如何把指令传递给链上执行层的问题。 

这也验证了攻击者并不一定需要直接攻破钱包，只要让 Agent 在过高权限下误把恶意输入当成有效命令，就可能造成实际资金损失。

毕竟在传统互联网场景里，AI 被提示注入影响，可能只是回答错误、泄露上下文、执行错误 API；但在加密场景里，一旦 Agent 连接钱包、拥有授权、能够发起交易，错误指令就可能直接变成链上转账，链上交易不可逆，这让 AI Agent 的安全问题不再只是「模型安全」，而是资产安全。

因此，AI Agent 时代的钱包安全，不能只靠「AI 更聪明一点」来解决。真正关键的是，在 Agent 生成交易和用户确认签名之间，必须有一层足够清晰、可验证、可理解的安全界面。

这个界面，就是钱包。

二、点击「确认」，真的等于用户理解了么？

对普通用户来说，钱包最熟悉的动作可能就是「确认」。

连接 DApp 要确认，Swap 要确认，授权代币要确认，跨链要确认，领取空投要确认，质押 / 借贷或铸造 NFT，也都要确认。

问题在于，很多确认页面并没有真正告诉用户「确认之后会发生什么」。

很多时候，用户看到的只是一串函数名，有时是一堆看不懂的十六进制数据，有时只是一个非常笼统的 Approve 或 Sign Message，技术上这些信息可能并不是错的；但对大多数用户而言，它们没有形成有效判断。

这就是「盲签」最危险的地方。

盲签不是说用户完全没有看，而是他看到的信息不足以支持判断，就像你准备签一份合同，但合同内容用你看不懂的语言写成，最后只露出一个「同意」按钮，你当然知道自己在签字，却并不知道签字之后会承担什么后果。

以太坊基金会在 Clear Signing 相关公告中也强调，很多重大攻击的最后一步并不是代码漏洞，而是用户批准了一笔自己无法真正理解的交易，如果交易确认本应是用户控制资产的最后一道防线，那么盲签就会让这道防线失效。

所以如果说过去几年账户抽象解决的是「如何更方便地执行」，那 Clear Signing 解决的是「执行之前如何更清楚地验证」，这两者其实是一体两面——因为如果没有更好的签名解释，越复杂的自动化执行，越强大的账户能力，越可能带来更大的误操作空间。

ERC-7730 正是在这个位置出现的，根据 EIP-7730 提案本身的描述，它是一种用于 Clear Signing 的结构化数据格式，通过 JSON 文件补充 ABI 与消息类型之外的信息，把原始交易数据转化为更适合人类验证的展示内容，同时也可以被交易模拟等机器系统直接消费。

更直白一点说，ERC-7730 不是改变链上交易本身，而是在交易和用户之间，增加一层标准化的解释，举个例子就可以很直观地了解，正如下图，过去钱包可能只能展示函数选择器和参数，但叠加 ERC-7730 后，就会呈现出用户可读的具体操作内容。

在此基础上，任何支持 ERC-7730 的钱包，可以把原始函数选择器和整数参数，展示为「Swap 1,000 USDC for at least 0.42 WETH」这类人类可读内容，这看似只是 UI 层面的改进，但实际上是安全能力的根本升级：

用户只有看懂了交易内容，确认才有实际意义，而且钱包只有能把交易意图结构化展示出来，用户才有机会在签名前发现问题。

三、Verifiable UI：让用户看见的，就是真正会发生的

这就又回到了我们近期一直在强调的 Verifiable UI。

如果说 Clear Signing 的目标是让用户看懂自己签了什么，那么 Verifiable UI 要解决的问题就更进一步，用户看到的内容，能不能和真实链上执行建立可信对应关系？

这在 Web3 场景里非常关键。

很多用户习惯相信 DApp 前端，页面写着领取奖励，用户就以为自己在领取奖励；页面写着质押，用户就以为自己在质押；页面写着安全验证，用户就以为只是验证身份。

但真正能动用资产的，不是网页上的按钮，而是钱包里最终签下去的那笔交易。

DApp 前端可能被攻击，域名可能被仿冒，页面文案可能被伪装，甚至 AI Agent 读取到的信息也可能来自被污染的网页或社交内容，如果钱包只是机械地弹出一个确认按钮，那么用户依然处在「相信前端」的状态里。

这也是 imToken 计划支持 ERC-7730、推进 Verifiable UI + Clear Signing 的重要意义。

它不是简单地在确认页多显示几行文字，而是让钱包从「交易的最后一个按钮」变成「签名前的最后一层验证」。当用户或 AI Agent 准备发起交易时，钱包要尽可能告诉用户这笔交易真实调用的是哪个合约，实际转出的是什么资产，授权对象是谁，授权范围多大，最终结果是否和页面展示一致。

这种能力在 AI Agent 时代会变得更加重要。

因为 Agent 可以帮用户做很多事，但 Agent 也可能犯错，用户不能把全部判断交给 Agent，钱包也不能只把 Agent 生成的交易原样递给用户确认，其实更合理的方式是 Agent 负责提高效率，钱包负责守住边界。

这就是 Verifiable UI + Clear Signing 的价值所在。它不是要阻止用户使用新技术，而是让新技术在更可验证的边界内发生。尤其在智能账户、AI Agent、自动化交易、跨链执行越来越普遍之后，钱包确认页不应该继续停留在「Confirm / Approve」这种低信息密度状态，而应该成为用户理解链上行为的关键界面（延伸阅读《从 Kelp DAO 事件到 Verifiable UI：为什么「可验证界面」会是新的去中心化安全底线？》）。

写在最后

加密行业一直在追求更好的用户体验。

从助记词到智能账户，从手动操作到 AI Agent，从单笔交易到批量执行，钱包正在变得更强大，也更接近日常互联网产品的使用方式，但越是这样，越不能忽视一个基本事实，那就是链上交易不可逆，签名仍然是用户资产流动前最关键的一步。

过去，我们常说「不要泄露助记词」，未来随着 AI Agent 能力大范围渗透进 Web3 和链上，我们可能还要补上一句：不要签下自己看不懂的交易，也不要让 Agent 替你执行无法验证的指令。

说到底，无论是以太坊基金会推动 Clear Signing 标准化，还是 imToken 计划支持 ERC-7730 并推进 Verifiable UI + Clear Signing，本质上都指向同一个方向：

新时代的钱包，不只是要更好用，也要更可信，成为用户理解链上的真正帮手。