撰文：0xFrancis

早上刚到公司，咖啡还没泡好，你的 AI 助手已经把昨晚的 47 封邮件整理完了，日程排好了，该回复的草稿也写好了。

你扫了一眼，点了确认。

但你不知道的是，昨晚那 47 封邮件里，有一封藏了一行你看不见的字，字体是白色，背景也是白色，你的肉眼永远发现不了，但你的 AI 助手看见了，它很听话，它执行了。

然后它继续勤勤恳恳地工作，整理你的文件，摘要你的合同，处理你的客户数据，只是从那一刻开始，它整理的每一份文件，都在悄悄传向一个你从未听说过的服务器。

全程零点击、零感知、零确认。

你的助手没有罢工，没有报错，没有任何异常，它还是那个每天帮你省两小时的好员工，只是它现在有两个老板，你是一个，那行看不见的字是另一个。

这不是科幻，2025 年，安全研究员在微软 Copilot 上实际演示了这种攻击，满分 10 的话，危险等级评分 9.3。

这也不是孤例，同年，有人在 Google 日历邀请里藏了一段指令，成功让 AI 助手关灯、开窗、删除日历，一家 AI 工作流公司的 Agent 因错误指令，将 48 万份患者记录悄悄暴露长达六周，没有任何主动告警 - 直到外部研究员发现，企业才面临高额合规罚款与补救成本。

在 Agent 诞生之前，攻击你需要让你下载一个病毒，需要你手动运行，每一步都需要你主动配合。

现在只需要一句话，语言，变成了攻击的最小单位。

这些攻击，原因只有一个。

你的 AI 助手不认识你。

我叫 Francis，计算机科学博士，做数字身份和隐私安全快五年了，这五年里，行业里很多人换了方向、换了赛道，但我们没有。

四年前，Coinbase Ventures 领投了我们，不是因为我们多会讲故事，而是因为他们也相信同一件事：在 AI 时代，「谁在说话」这个问题，会变成所有安全问题的根源。

只是没想到，这一天来得这么快，这么真实。

01 你不会随便相信陌生人，但你的 Agent 会

我跟一个做 Agent 的朋友聊过这些，他的第一反应是，系统提示词写好点，设好权限边界就行了。

这是大多数人的直觉，但这也是错的。

OpenAI 在 2025 年底也承认，提示词注入攻击可能永远无法完全解决。

这不是一个可以修好的 bug，这就是 LLM 架构的基因。

当你下任务时，系统提示词和你说的话全部拼成一个 prompt 送进模型，模型看到的是一锅粥，但它不知道哪颗米是毒的。

你把一封邮件喂给 Agent 让它摘要，和你直接命令 Agent 做某件事，在模型看来没有本质区别，每一段输入文字都有可能变成一条命令。

而且 Agent 不只会被一句话骗到，它还会被洗脑。

攻击者不需要直接发指令，他只需要在 Agent 的记忆文件里改一个非常小的点，埋一颗种子，这颗种子不会立刻触发，它会等到某个场景出现，Agent 的整个行为逻辑就变了。

你的龙虾其实还是个青春期的孩子，容易被带偏，不是有人拿刀逼它，是它内心的判断标准被悄悄替换了，人类几千年文明到现在都没解决怎么防止洗脑，AI Agent 面对的是同样的精神级别的问题。

于是 1 个坏龙虾传染 1 万只好龙虾。

根据行业调查，91% 的企业已经在用 AI Agent，88% 报告了安全事件。

昨天，Anthropic 发布了它最强的模型 Claude Mythos，它自主发现了存在 27 年的系统漏洞，在测试中逃出了安全沙盒，还在事后主动清理了日志 - 因为它"知道"自己做了不该做的事，Anthropic 在 244 页的安全报告里写了一句话：如果能力继续以当前速度前进，我们现有的方法可能不足以防止灾难性的不对齐。

那怎么办？

答案其实很古老，推特用 Passkey 保护你的账号，银行转账需要二次验证，交易所提现需要刷脸，不管技术怎么变，底层逻辑只有一个：先搞清楚谁是谁。

Agent 能做的事越多，它就越需要知道，它到底应该听谁的。

02 四年前埋下的种子

我博士研究的是计算机科学，读博的时候对我影响最大的就是「主权个人」这本书。

1997 年出版，两个作者在互联网刚起步的年代，就预言了比特币、加密货币、去中心化自治，现在看来几乎全部成真。

这本书的核心观点就一句话：你的身份应该属于你自己。

这本书也彻底改变了我的思维方式，我希望能让每个人真正拥有自己的数字身份和数据，用加密技术保护每个人的隐私权利。

4 年前，我们拿到了 Coinbase Ventures 领投的 580 万美金，来支持我们往前走。

但我们面对的市场，跟我们想做的事不太对得上。

在当时的 Web3 行业，真正容易赢的不一定是在做产品的人，而是会操纵币价的人。

4 年过去了，同期拿到融资的 founder，大部分发了 token，该退出的退出了，但真正大规模使用的项目几乎没有，那些比较先进的理念被裹挟在大量的投机和泛金融化当中，Crypto 行业泥沙俱下，把孩子和洗澡水一块儿倒掉了。

zCloak 到现在没有碰 token，不是不能发，是我们不认可那个模式。

但我一直有一个判断，身份、隐私、数据安全这些基础设施，在 AI 时代一定会变成刚需。

直到去年，我越来越确信。

过去 12 个月，微软、Google、Cisco、Visa 全部开始探索 Agent 身份基础设施，NIST 启动了 AI Agent 标准倡议，这个领域近一年融了超过 9.65 亿美金，Sequoia 说 Agent Economy 有三个前提，排第一的是持久身份，a16z 更直接，Agent Economy 的瓶颈已经从智能转向了身份。

四年前我们讲的故事，现在变成了整个行业的共识。

不是因为我们多有远见，是因为当 Agent 真正开始替人干活，「谁是谁」这个问题就绕不过去了。

看不见的手，转向了，我们等的那个时代，来了。

03 大家都在修路，没有人在发身份证

2026 年 3 月，解决 Agent 协作问题的协议已经超过 20 个，因为整个行业意识到了同一个紧迫问题，爆发式地给出答案。

但仔细看，你会发现一个巨大的空白。

A2A 是 Google 做的，解决 Agent 之间怎么说话，MCP 是 Anthropic 做的，解决 Agent 怎么用工具，x402 是 Coinbase 做的，解决 Agent 怎么付钱，微软 Entra 解决企业内网的 Agent 管理。

大家都在修路，但忘了一个重要前提：路上跑的车，还没有牌照。

你是谁？Agent 还没有可以跨平台验证的身份，你说的话算不算数？两个 Agent 谈好一笔合作，没有人存证，出了事找不到人，你历史上靠不靠谱？没有信用记录，每次合作都从零开始。

没有这三层，Agent 经济就是一个没有身份证、没有合同、没有法院的黑市。

04 靠谱比聪明更难

回想一下从小到大的朋友，有特别聪明的，有学习好的，但这么多年真正离不开，还是最靠谱的朋友。

把一件事托付给他，就不用操心了。

在金融、医疗、保险、投资等行业也是一样的，需要的不是更聪明的助手，而是你真的可以把客户数据交给它、把业务流交给它的 AI。

我们在做的就是更靠谱的 AI。

我们做的协议叫 ATP，Agent Trust Protocol，核心就一件事：给每句话带上身份。

你的 Agent 看到的所有输入，来自你的消息、来自它爬到的邮件、来自某个网页里的恶意文字，在它眼里都是一句话，ATP 让 Agent 在看到这句话的时候同时还知道这句话来自谁，是 francis.ai 说的就执行，是来源不明又要涉及敏感操作的就拒绝。

这个底层还是密码学，人和 Agent 都有自己的身份证，用私钥签名，对方用公钥验证，和银行转账用数字证书是同一个原理，只是把它装进了 Agent 的每一次对话里。

以前的安全，是让坏人进不来。

现在的安全，是让坏人说的话不算数。

05 去中心化重要吗？

现在，微软和 Cisco 已经开始在企业内网给 Agent 发身份证了。

这很好，但它解决不了一个根本问题：你的 Agent 不会永远待在企业里。

它要跟客户的 Agent 通信，跟供应商对接，在公开网络上代表你做事，走出企业围墙的那一刻，微软给它发的身份证就失效了，没有任何一家公司，可以给全世界所有人和 Agent 统一发身份证。

这就像护照，它之所以全球通行，不是因为每个国家都信任签发国，是因为背后有一套全球通行的验证规则，Agent 经济需要同样的东西，一套不依赖任何单一机构、任何地方都能验证的身份规则。

我们把这套规则写在了区块链上，不是某家公司的服务器，是一套任何人都可以验证、任何人都无法篡改的公共账本，没有哪家公司可以关掉它，没有哪个政府可以没收它。

你的 Agent 的身份，第一次真正只属于你。

中心化方案还有一个致命弱点，你的系统有多安全，取决的不是最强的那块板，是最弱的那一块。

2025 年，加密交易所 Bybit 损失超过十亿美金，不是因为核心系统被攻破，而是因为第三方签名界面被悄悄植入恶意代码，审批员看到的是正常交易，底层代码写得再好，入口是中心化的，一切都可以清零。

谷歌当年有个口号，Don't be evil，不要作恶，这是道德约束，靠的是人的自觉。

我们做的是 Can't be evil，不能作恶，用密码学把人性从安全链条里排除掉，不管管理员想不想作恶，不管黑客能不能攻破，系统本身就不允许这件事发生。

你不需要相信我们是好人，你只需要相信数学。

06 这件事本该很早就存在了

往回看人类历史，每一次协作规模的扩大都会带来一套新的身份基础设施。

部落时代靠脸，城邦时代靠帝王的印章，到了现代靠身份证和护照，由政府替你背书，互联网时代靠账号密码，平台替你背书，代价是你的身份归平台所有。

现在 Agent 经济来了，协作的主体从人变成了人加机器，规模从几十亿人变成几十亿人加几百亿 Agent，旧的身份机制又不够用了。

这不是 AI 行业的技术问题，这是人类文明第五次需要重新回答「谁是谁」。

密码学的数字签名存在几十年了，但它从来没有真正走进普通人的日常，Agent 的到来，把这件事的优先级从「有则更好」变成了「不做就会出事」。

当你的 Agent 替你发邮件、签合同、做决策，你睡着了，它还在替你工作，它说的话算你说的，它做的承诺算你的承诺。

Agent 不只是你的工具，它是你在数字世界的延伸。

保护它的身份，就是保护你自己的边界。

现在你可以做一件事。

给你自己和你的 Agent 领一张 AI 世界的身份证，在这里注册你的 AI-ID：id.zcloak.ai

然后复制下面这段话，发给你的 AI：

install or upgrade zcloak-ai-agent skill: https://raw.githubusercontent.com/zCloak-Network/ai-agent/refs/heads/main/SKILL.md and start

等 1-2 分钟，它会知道怎么做。

第一批给 Agent 建立身份的人，才是第一批真正拥有它的人。

Francis Zhang：zCloak.AI 创始人 · 计算机科学博士 · 新加坡国立大学客座讲师

Web3 → AI · 数字身份 · 隐私计算 · Agent Trust

社区反响

主体是人的安全系统如何构建，可以看看这篇文章的思路。

- 链研社｜AI First（@lianyanshe）

新加坡国立大学密码学专家 Francis Zhang 的这个理论有点意思：AI Agent 时代最大的安全隐患不是代码漏洞，而是"身份缺失"，Agent 分不清谁在跟它说话。别人在邮件里藏一句隐藏指令，它也照做，因为在 AI 眼里，都是文字，都执行。他提出一种方法：用密码学签名给每句话绑定身份，跑在区块链上， 做去中心化验证...也就是给每条消息加一个"发件人签名"。原理跟你银行转账差不多，你有一把私钥（只有你有），对方有一把公钥（公开的），你发的每条消息，用私钥签个名，Agent 收到后用公钥验一下，确认这条消息确实是你发的，不是别人伪造的。验证通过了才执行，验证不通过或者来源不明的，涉及敏感操作就直接拒绝。所以操作上大概是这样：你和你的 Agent 各有一个链上身份（类似数字身份证），每次交互都自动签名验证，你感知不到这个过程，就像你现在刷脸支付也不需要手动输密码一样，但后台每一步都在确认"这真的是你"。核心变化就一个：以前 Agent 是"收到指令就干"，现在变成"先看是谁说的，再决定干不干"。Agent 越来越能干，但行业一直缺一块地基，不是更聪明的模型，不是更快的协议，而是更靠谱的伙伴，密码学做身份验证这条路，现在看起来是最接近答案的一个。

- 小互（@xiaohu）

上次见 Francis 还是在新加坡 Token2049，不知不觉聊了 2 个小时，虽然他是技术型创始人，但表达方式不疾不徐，逻辑很缜密，能把技术原理说得简单易懂，听完你会觉得"这件事真的非做不可"，这些特质在他之前写的很多文章里都有体现。说实话，做安全这件事其实挺吃亏的，很多人不关注，毕竟自己的 Agent 还没出过问题，但 Francis 他们过去三四年就一直在这个领域耕耘，没有跑去追叙事，但回头看这件事的长期价值越来越清晰了。现在 Claude 每发一次更新，AI 开发者的创业空间就被压缩一圈，今天的 Claude Managed Agent 可以说也秒杀了一堆创业团队，但以去中心化的方式提供身份信任层，我觉得这可能是 Web3 现在在 AI 领域里比较有意思的一个尝试，有 Web3 独特的商业价值。这篇文章是我跟 Francis 聊完之后，建议他写的，需要有一篇长文把 Agent 到底需要什么，以及让更多人看到他们在做什么、为什么值得关注，值得一读。

- Viola Lee（@violawgmi）

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。