Sigil:为AI Agent签名操作构建「所见即所签」的安全护栏
AI Agent行动升级,授权黑箱风险凸显
当AI Agent不再只是回答问题,而是开始执行资金调拨、链上交易甚至操作系统命令时,用户面临的授权界面却仍停留在一句模糊的“Yes”。例如,用户指令“帮我把钱包中一半的可用资金加仓ETH”,Agent可能自动完成余额查询、池子比价、路径构建等复杂操作,最终仅以简短消息请求确认。用户虽点击同意,却无从知晓实际调用的协议、滑点、授权范围及收款地址等关键细节。这种“意图确认”与“实际执行”之间的脱节,正成为AI代理时代的新安全隐患。
传统签名机制失效,Clear Signing亟需进化
过去,加密钱包通过解析十六进制交易数据为人类可读信息,实现“清晰签名”(Clear Signing),解决用户看不懂底层操作的问题。然而,AI Agent带来的挑战更为复杂——用户需授权的不再是单笔交易,而是一整套由Agent动态规划的操作链路。当前主流做法是在聊天窗口发送概括性说明并等待“Yes”回复,但这存在三大缺陷:一是操作参数被隐藏,形成黑箱;二是聊天确认无法验证是否为本人操作;三是确认界面可被Agent自行伪造,导致展示内容与实际请求不一致。
Sigil:在Agent与钱包间架设安全护盾
imToken推出的Sigil正是为解决上述问题而生。它作为AI Agent与钱包之间的安全护栏,允许用户预先设定操作策略:低风险任务可由Agent自主完成,而涉及资金支出、链上签名、文件删除或代码执行等敏感行为则必须暂停,等待用户独立批准。当触发敏感操作时,Sigil会将真实请求解析为结构化确认卡片,通过Telegram发送给用户。用户需使用Passkey配合生物识别完成签署,系统验证后才允许Agent继续执行。整个流程确保“所见即所签”,且展示、签署与执行三者严格一致。
三层保障机制,守住用户控制权
Sigil围绕“What you see is what you sign”原则构建三层防护:首先,确认卡片直接展示协议、金额、接收方等关键参数,避免依赖Agent的自然语言概括;其次,采用Passkey+生物识别进行强身份认证,确保只有用户本人才能批准,即使设备被他人接触也无法绕过;最后,确认页面为注册的独立模块,在沙箱中渲染且内容上链固定,Agent无法篡改或伪造界面。此外,请求参数经哈希绑定,签名具单次性和时效性,防止重放或参数替换。
从Crypto到通用AI Agent,Sign将成为信任基石
Sigil虽源于加密钱包场景,但其意义远超链上交易。随着OpenClaw、Hermes等Agent接入邮件、日历、支付、终端等系统服务,任何以用户名义调用能力的行为都需真实授权。imToken十年积累的私钥管理、数字签名与权限控制经验,正借此延伸为AI时代的智能身份基础设施。Store、Send、Stake分别对应资产持有、价值流动与网络参与,而Sign则守护用户在机器代行时代最后的决定权。Sigil并非阻碍效率,而是为AI Agent真正进入现实服务构建不可或缺的信任基础。






