人はそれぞれに役割がある：エージェントウォレットとウォレットの次の10年

執筆者：レイシー・チャン（Bitgetウォレット研究員）

1984年、アップル（マッキントッシュ）はマウスを使ってコマンドラインを駆逐した。2026年、エージェントはマウスを駆逐する。

これは比喩ではありません。Google、Amazon、Nvidia、Visa、Microsoft、Alibabaといった企業は、グラフィカルインターフェースの改良に数十億ドルを費やしてきましたが、今や積極的にGUIを迂回し、CLI、API、ネイティブエージェントインターフェースへと移行しています。その理由は単純明快です。ゼロからイチへの成長は人に依存しますが、次の10倍のユーザー層はもはや画面を見ているわけではないからです。

しかし、誰もが避けているのは、ソフトウェアの利用者が人間からエージェントに変わった場合、人間が立ち会う必要は依然としてあるのか、という点だ。

サイバネティクスの創始者であるノーバート・ウィーナーは、1950年という早い時期に、人間が観察と介入の能力を失うと、フィードバックループが崩壊し、システムが制御不能になると警告した。OpenAIが今日重視している「ハーネスエンジニアリング」は、まさにこの考え方の延長線上にある。

70年以上経った今、Agentic Walletは、この問題の暗号化版に直面しています。確認ポップアップ、署名要求、承認プロセス、ニーモニックフレーズバックアップ、多要素認証...暗号化ウォレットが10年かけて構築してきたセキュリティメカニズムはすべて、「この操作を本当に承認しましたか？」という一つの質問に答えるものです。エージェントはこの人間とのやり取りメカニズムを失敗させてしまいました。各トランザクションごとに手動確認を要求し続けると、エージェントが継続的、リアルタイム、自動実行を実現することは不可能になります。また、秘密鍵の無制限の制御をエージェントに直接渡すと、人間は許容できないリスクにさらされます。

答えはどちらの極端な選択肢にもありません。完全な自律性はエージェント時代の最も魅力的なシナリオですが、ウィーナーの警告は依然として有効です。エージェントウォレットは、2種類のエンティティに同時に対応する必要があると私たちは考えています。一方では、人間がルールを設定し、リスクを管理し、ガバナンスに介入できる機能を提供すること。他方では、エージェントに制約付きの実行権限を提供し、明確に定義された範囲内でオンチェーン操作を自律的に実行できるようにすること。言い換えれば、ウォレットは、人間が使用する資産コンテナや署名ツールから、人間が境界を設定し、エージェントがその境界内で動作する権限と実行システムへと進化する必要があるのです。

このシステムはどのようなものであるべきか？この記事では、その問いに答えていきます。

I. ファットウォレットを超えて、もう一つのウォレット戦争

Delphi Digitalは、記事「ファットウォレット理論」の中で、プロトコルとアプリケーション層の均質化が進むにつれて、ウォレット層に価値が蓄積されるという説得力のある主張を展開した。これは、ウォレットがユーザーに最も近く、流通チャネルと注文フローを制御しているためである。ユーザーは、使い慣れたインターフェース、蓄積された資産、そして移行の煩雑さといった理由から、特定のウォレットに長期間留まる傾向がある。

しかし、エージェントは人間と同じ論理に従いません。エージェントは「冷酷な」機械実行者として、人間のようにインターフェースの使い慣れ具合、ブランドの好み、使用習慣に基づいて特定のウォレットに留まることはありません。代わりに、エージェントは常に、コストが最も低く、レイテンシが最も低く、実行が最も安定しているインフラストラクチャの組み合わせを模索します。ERC-8004などの標準規格が徐々に普及するにつれて、エージェントのIDおよび評判レイヤーは異なるシステム間を移行することが予想されます。これは、ウォレットがエージェントに及ぼすロック効果が、人間に及ぼすロック効果よりも当然弱いことを意味します。

しかし、これはウォレットの価値が消滅することを意味するのではなく、価値が保存される場所が変わることを意味します。単純な個人利用の場合、エージェントはインターフェース、習慣、エントリーポイントに基づいてウォレットによって形成された本来の障壁を弱めます。一方、比較的複雑な組織展開シナリオでは、企業が「エージェント群」全体に対してポリシー規則、承認プロセス、リスク管理パラメータ、監査システムを設定すると、移行コストはフロントエンドのエクスペリエンスからではなく、権限、ガバナンス、運用および保守構成の全体像の再構築から発生します。

したがって、Agentic WalletはFat Walletとは異なる問いに答えるものである。Fat Walletはユーザーのアクセスを巡って競争するのに対し、Agentic Walletはソフトウェアが資金を直接管理し始める際の制御権を巡って競争する。

ウォレットの進化を振り返ると、製品形態の変化は、本質的にユーザーの信頼対象の変化に対応していることがわかる。

ニーモニックフレーズウォレットは、ユーザーがウォレット自体を信頼することを前提としている。
スマートコントラクトウォレットは、ユーザーがコードを信頼することを必要とする。
組み込み型ウォレットは、ユーザーがサービスプロバイダーを信頼することを必要とする。
Agentic Walletでは、ユーザーは権限、ポリシー、ガバナンスメカニズムから構成される制御システムを信頼する必要があります。

このシステムの目的は、ソフトウェアに資金を乗っ取らせることではなく、人間が最終的な制御権を保持しつつ、ソフトウェアが限定的な権限で動作できるようにすることです。したがって、Agentic Walletの中核は単に「エージェントがウォレットを使用できるようにする」ことではなく、「制約があり、監査可能で、介入可能な条件下で、エージェントが人間のユーザーに属する資金を管理できるようにする」ことにあります。

II. ウォレットの境界、エージェントの出発点

既存のウォレットは、当初設計されたシナリオにおいては依然として十分に機能するが、問題は、エージェント主導のユースケースがますます増え、既存のウォレットの設計上の限界を超えつつあることである。

シナリオ1：取引代理人は迅速に行動する必要があるが、「実行する能力があること」は「実行を許可されていること」とは同義ではない。

ポートフォリオエージェントは、クロスチェーンの流動性を24時間体制で監視します。取引機会が発生した場合、数秒以内に取引を完了する必要があります。従来のウォレットの制御ロジックでは、ユーザーがアプリケーションを開き、取引内容を確認し、クリックして確定します。このプロセスが完了する頃には、取引機会はすでに失われていることがよくあります。

技術的には、エージェントは既にスワップ機能の呼び出し、コールデータの生成、資金のブリッジといった機能を備えている。問題は、その機能と権限はイコールではないということだ。エージェントが取引を開始できるからといって、資金を自由に処分できるとは限らない。

エージェントウォレットの目的は、この2つを分離することです。エージェントは即座に行動できますが、承認された資産に限定される、日々の予算制限を受ける、スリッページ制限を受ける、市場状況が異常な場合は自動的に一時停止するなど、あらかじめ設定されたルールに従ってのみ行動します。スキルはエージェントが「できること」を定義し、ウォレットはエージェントが「できること」を制限する役割を担います。

シナリオ2：決済代行業者は資金を使う必要があるが、資金を完全に管理する権限を持つべきではない。

決済エージェントは、API料金、SaaS利用料、ベンダーへの支払いを自動的に処理する役割を担います。現在のウォレットシステムでは、通常、2つの選択肢しかありません。1つは、すべての支払いを手動で承認してもらう方法、もう1つは、無制限の署名権限を持つ秘密鍵を直接保持する方法です。前者は拡張性に優れていますが、後者はリスクが高すぎます。

Agentic Walletは制限付きライセンスを提供しており、ホワイトリストに登録された加盟店にのみ支払いが可能で、指定された資産のみを使用でき、日々の予算内でのみ支払いを実行でき、すべての支出が完全に記録されます。

シナリオ3：複数のエージェントが、共有予算の下で個別の権限を持つ必要がある。

エンティティは、トランザクション用、支払い用、レビュー用など、複数のエージェントを同時に実行できます。既存のウォレットは確かに複数のサブアカウントを作成できますが、これらのアカウントに対する統一された権限管理、グローバルな予算上限の設定、エージェント間のポリシー制約の適用、統一された監査チェーンの構築は、既存のウォレットのネイティブ機能ではありません。

エージェントウォレットモデルでは、これは優先度の高い設計課題として扱われます。各エージェントはそれぞれ独立した明確に定義された権限を持ち、同時に、統一されたポリシーレイヤーが、エージェント全体にわたるリスクエクスポージャー、頻度制限、共有予算を制御し、一貫性のある監査ログを生成する役割を担います。

これらのシナリオはすべて同じ結論を示しています。それは、秘密鍵の管理がウォレットセキュリティの基盤であり続けるということです。エージェントが秘密鍵に直接アクセスすることを許可することは、いかなるシナリオにおいても容認できないリスク要因となります。しかし、単に秘密鍵を管理するだけではもはや十分ではありません。オペレーターが人間からエージェントに変わると、ウォレットは2つ目の質問にも答えなければなりません。誰が、どのような条件下で、どのような制限内で、どの資産に対して、どのオブジェクトに対して操作を行うことが許可されているのか、ということです。秘密鍵の管理は第一の防御線であり、非人間オペレーターの権限境界の管理は、エージェント時代に追加された2つ目のファイアウォールと言えるでしょう。

III．限定された自律性：エージェントウォレットの設計哲学

エージェントウォレット業界はまだ初期段階にあり、真に成熟したエージェントウォレットソリューションはまだ存在しません。しかし、序論で述べたように、この記事ではエージェントウォレットを、人間のガバナンスとエージェントの実行を結びつける資金管理システムとして捉えています。つまり、人間は境界を設定する責任を負い、エージェントはその境界内で行動する責任を負い、ウォレットはこれらの制約が常に強制可能、監査可能、かつ運用可能であることを保証する責任を負います。

エージェントが取得した承認レベルに応じて、Agentic Walletは以下の4つのシナリオにも対応できます。

人間による制御：エージェントは提案や支援を提供するが、各操作には依然として人間の確認が必要となる。改善点はインタラクションの効率性であり、資金管理のロジックは変更されない。
ハイブリッド型：エージェントは、検索、見積もり、アラート、低リスクの実行などの定型業務を処理します。人間の介入は少なくなりますが、資金移動、契約呼び出し、異常な分岐などの境界状況では、依然として人間の承認が必要です。
限定された自律性：エージェントは、明確に定義されたルール、制限、および拒否権の範囲内で自律的に動作します。人間は、各トランザクションを承認する役割から、ルールを設定する役割へと移行します。この記事で説明するエージェントウォレットは、主にこのタイプを指します。
完全自律型：エージェントはほぼ完全な経済主権を持ち、あらかじめ定められた境界にとらわれることなく、資金を独自に配分し、その結果を自ら負担することができる。このモデルは理論的には妥当であるものの、セキュリティ、ガバナンス、説明責任、コンプライアンスの面ではまだ成熟には程遠く、現状では大部分が実験段階にある。

参考までに、Stripeは2025年の年次報告書で攻撃性を5つのレベルに分類しました。L1：ウェブフォームの排除、L2：記述的検索、L3：持続性、L4：委任、L5：予測です。また、業界全体としては依然として「L1とL2の境界線上にある」と明確に述べています。

この観点からすると、現時点では人間が制御するシナリオやハイブリッド型のシナリオが最大の市場需要を生み出す可能性がある一方、限定的な自律性こそが真の最先端であり、エージェントが実際に資金管理を開始する最初の実用レベルの形態であると言えるだろう。

このコンセプトには4層アーキテクチャが必要です。

アカウントレイヤー：EOA、スマートコントラクトアカウント、サーバーウォレット、TEE環境などを通じて、各エージェントごとに独立した隔離された経済コンテナを確立します。システムは、異なるエージェントに対して異なるルールを適用する必要があります。
権限レイヤー：エージェントの動作範囲を定義します。例えば、使用できる金額、操作可能な資産、操作可能な契約、実行時間枠、および境界に達した後のアクションロジックなどです。これはアーキテクチャ全体のコアとなるレイヤーです。
実行層：インターフェースはエージェント指向であり、人間によるクリック操作を指向するものではありません。送金、支払い、スワップ、ブリッジング、リバランス、クリアリング、決済といった処理はすべて、プログラムから直接呼び出せるプリミティブに抽象化する必要があります。
ガバナンス層：この層では、ログ記録、シミュレーション、監査証跡、アラート、一時停止/オン/オフ機能、人間の拒否権、復旧メカニズムなどを提供する必要があります。この層は、Agentic Walletを本番環境に実際に展開できるかどうかを決定します。

4層アーキテクチャの上には、システムの運用を支えるために4つのコア機能も必要となる。

スキル：標準化されたオンチェーン操作モジュールを提供します。エージェントは、基となる呼び出しデータを自身で組み立てることなく、関数を呼び出すかのように、トランザクション、支払い、ブリッジングなどのアクションを実行できます。スキルは、「何ができるか」という機能を抽象化する問題を解決します。
ポリシー＋KYA/KYT：ポリシーエンジンは、各操作のルールを検証し、人間が定義した境界を機械が実行可能な制約に変換する役割を担います。KYA/KYTメカニズムは、エージェントの出所、身元、リスク状況、および操作履歴を識別するために使用されます。前者は動作を制約し、後者はオペレーターを識別します。これら2つが連携することで、すべての金融取引が事前に設定された境界内に収まることが保証されます。
セッションキー：時間制限、制限、範囲制限のある安全な委任メカニズムを提供します。エージェントは完全な秘密鍵ではなく、一時的かつ限定的な認証を受け取ります。認証は手動で取り消すことなく自動的に期限切れになるため、「エージェントは完全な鍵にアクセスすることなく実行権限を取得できます。」
監査と通知：完全な追跡可能な操作ログとリアルタイムのアラートシステムを提供します。すべての操作は追跡可能で、あらゆる異常がアラートをトリガーし、すべてのエージェントはいつでも一時停止できます。

現在、エージェントの動作は通常、指示によって制御されますが、タスクのオーケストレーションは資金制約とは異なります。エージェントは依然として判断を誤ったり、意図した経路から逸脱したり、攻撃や悪意のある入力の汚染の影響を受けたりする可能性があります。ウォレットレイヤーの重要性は、「資金の使用可否、使用金額、操作可能な資産、操作可能なオブジェクト、異常事態発生時の操作終了方法」など、資金権限に関するシステムルールを事前に設定することにあります。エージェントが逸脱した場合でも、実際に発生する資金操作は、事前に設定された範囲内に制限されます。

IV. エージェントウォレットの現状：4つの道筋と4つのギャップ

既存のエージェントウォレットソリューションに関して、我々は4つの典型的なケースに焦点を当ててきましたが、これらは基本的に「エージェントが資金システムにアクセスできるようにする方法」という問題を解決しているものの、「クロスチェーンや複雑な現実世界の環境でエージェントが資金を安全に使用できるようにする方法」という問題にはまだ答えていません。

Coinbase、Safe、Privy、Polygonはそれぞれ、インフラストラクチャ、ガバナンス、パーミッション、IDの各レベルで実現可能なソリューションを提供してきました。残された課題は、これらの部分的な機能を、チェーンをまたいで動作し、環境をまたいで移行でき、複雑な攻撃シナリオでも効果的に機能する統一された制御システムにさらに統合することです。現在、エージェントウォレットの一般的なボトルネックは、主に次の4つのギャップに集中しています。

まず、アイデンティティと信頼性は譲渡できない。

オンチェーンのエージェントIDおよび評判システムは構築可能であるものの、チェーン、ウォレット、運用環境を問わず適用可能な普遍的な信用システムはまだ存在しない。エージェントが1つのエコシステムで蓄積した履歴や評判は、別のエコシステムに自然に引き継ぐことはできない。

第二に、戦略レベルでの統一された基準が欠如している。

Coinbaseは支出制限、Safeはオンチェーンモジュール、Privyはポリシーエンジン、Polygonはセッションスコープウォレットを採用している。業界では一般的に、パーミッションレイヤーが中核をなす要素であると認識されているが、製品間で移植性、構成可能性、再利用性を備えた統一的な戦略標準はまだ確立されていない。

第三に、敵対的セキュリティは依然としてほとんど発展途上にある。

即時注入、ツール汚染、悪意のあるスキル、汚染された外部入力といった問題は、従来の契約監査では自動的に対処できない。エージェント時代の真の課題は、モデルの意思決定プロセスが悪意のある入力によって歪められた場合に、ウォレットがどのようにリスクを特定し、介入し、軽減できるかということである。

第四に、サプライチェーン全体の網羅性はまだ達成には程遠い。

既存のソリューションのほとんどは単一のブロックチェーン、あるいは限定的なマルチチェーン範囲に依存していますが、エージェントの経済活動は長期的には単一のエコシステム内に留まることはありません。真に成熟したエージェントウォレットは、複数のブロックチェーン、複数の実行環境、そしてドメイン間の権限の一貫性といった課題に対処する必要があります。

V. 表面の下に隠された真実：エージェントウォレットの今後10年間

現在、エージェントウォレットの設計における重点は、人間がエージェントをきめ細かく制御できるようにすることです。ほとんどの実装では、ウォレットの役割は受動的な署名者に近いものとなっています。エージェントがスキルを呼び出し、スキルがトランザクションを生成し、ウォレットがバックエンドで署名を完了し、その後オンチェーンで実行されます。

しかし、エージェントが実際に資金管理を開始する場合、最終段階で署名するだけでは明らかに不十分です。より合理的なアプローチは、実行前に権限チェックを行うことです。エージェントがスキルを呼び出した後、リクエストはまずウォレットの内部ポリシープレーンに入り、ポリシー検証を通過して初めて実行が許可されます。

いわゆるウォレットポリシープレーンは、システムアーキテクチャにおけるコントロールプレーンとデータプレーンの概念を取り入れています。エージェントの動作とオンチェーン実行の間に位置し、ポリシーエンジン、KYT/KYA検証、セッションキー検証、リスクスコアリング、異常処理を統合した意思決定プレーンとして機能します。

このアプローチは目新しいものではありません。Stripeの決済アーキテクチャも同様のロジックを採用しています。開発者は簡潔なAPIを呼び出しますが、実際に資金が移動する前に、Stripeはバックグラウンドでリスクの特定、ルールチェック、コンプライアンス処理を既に完了しています。Agentic Walletも基本的に同じことを行います。上位レイヤーでは開発者に分かりやすい実行インターフェースを提供し、下位レイヤーではフロントエンドのポリシーエンジンを使用して権限の決定を処理します。

緊急性が高いのは、即時インジェクション、ツール汚染、悪意のあるスキルなどによって攻撃対象領域が急速に拡大している一方で、ウォレット側のセキュリティインフラがそれに追いついていないという点にある。標準化されたウォレットポリシープレーンは、業界でまだ広く受け入れられる基本要素とはなっていない。

しかし、ポリシープレーン自体が最終状態となるわけではありません。エージェントのIDおよび評判システムが成熟するにつれて、認可ロジックは静的なルール駆動型から動的な信頼駆動型へと移行します。現在、認可ロジックは事前設定された境界、割り当て制限、ホワイトリスト、および手動による拒否パスに依存していますが、将来的には、オンチェーンのトランザクション記録、行動パターン、およびエコシステム間の信用データが徐々に検証可能なエージェント信用基盤を形成し、ID、履歴、および実際のパフォーマンスに基づいてより多くの認可決定が行われるようになります。

エージェントが機械速度で経済取引を行うようになると、システムの初期段階から制御メカニズムを組み込む必要が出てきます。ウォレットの役割も変化します。初期段階では、不正な操作を防止するゲートキーパーとしての役割を果たしますが、成熟段階では、インフラストラクチャにより近い存在となり、信頼できるエンティティがアカウント、権限、決済システムを摩擦なく継続的に接続できるようになります。

過去10年間、ウォレットをめぐる戦いの舞台は画面上の入り口だった。次の10年間は、ユーザーには見えない制御レイヤーが戦いの舞台となるだろう。