AI Agent經濟基礎建設研究報告（下）

本文為OKX Ventures 出品的深度研究。由於篇幅較長，將分為上下兩篇發布：上篇聚焦宏觀背景、x402 協議、ERC-8004 與Virtuals Protocol，點此跳轉；下篇將重點分析OpenClaw 及整體產業趨勢。

第五章OpenClaw：應用生態學專案研究

5.1 計畫背景與爆發

2025 年11 月，奧地利開發者Peter Steinberger 把一個週末專案發佈到GitHub。四個月後的2026 年3 月，這個專案超過React 成為GitHub 史上Stars 最多的軟體專案－25 萬+ Stars，React 花了13 年才達到同樣數字。

在AI 產品從被動工具向主動Agent 演進的大趨勢下，OpenClaw 做的改變是：AI 不再等用戶去找它，而是主動在用戶已有的平台上幫用戶做事。它住在使用者的電腦上，同時接入WhatsApp、Telegram、Slack、Discord、Signal、iMessage、飛書等超過20 個管道，透過MCP 協定操作郵箱、日曆、瀏覽器、檔案系統、程式碼編輯器。 Andrej Karpathy 為這類系統造了一個字：Claws；在後台循環運作、能自主決策和執行任務的本地AI Agent。這個字很快在矽谷成了本地託管AI Agent 的通用說法。

每個主流模型發布都把Agent 能力作為頭版，因為Agent 是證明AI 基礎設施投資合理性的需求乘數：一次聊天查詢消耗幾百個token，一次帶有工具調用和多步推理的Agent 運行消耗幾萬到幾十萬個token。

雖然創辦人在Discord 禁止討論加密貨幣。但Crypto 社群在OpenClaw 之上自發性地建構了一整套鏈上經濟基礎設施：代幣發射、身分註冊、支付協議、社群網路、聲譽系統等。 OpenClaw 的爆發讓我們第一次可以在一個真實的、大規模的場景中觀察Agent 和鏈上基礎設施的交互方式並且給Crypto 社區提供了一個有真實用戶基礎的宿主來附著經濟活動。

5.2 技術架構分析

第一層：訊息管道－身分問題

OpenClaw 同時連接20+ 平台，從Agent 內部看，它知道自己是同一個，有統一的記憶、統一的配置、統一的SOUL.md。但從外部看，別人怎麼知道Telegram 上的這個Agent 和Discord 上的那個Agent 是同一個？每個平台都有自己的使用者ID 系統，平台之間不互通且無法查看行為記錄。這正是ERC-8004 試圖解決的核心問題。

第二層：網關－安全問題

Gateway 是OpenClaw 的大腦調度中心：把用戶訊息路由到正確Agent、加載該Agent 的會話歷史和可用Skills、在Agent 開始思考之前劃定權限邊界（白名單機制：當一條訊息到達Gateway 時，系統基於消息來源渠道、用戶ID、群組ID 等信息，動態生成一個工具白名單上只有在白名單上的上下文工具中的上下文。根本看不到白名單以外的工具，所以也不可能呼叫）

這個設計的好處是安全性前置。但其權限管控完全依賴Gateway 單點，如果被攻破或配置有誤，Agent 可能取得不該有的權限。

第三層：Agent 核心（ReAct 迴圈）－可預測性問題

Agent 的運作邏輯是ReAct（Reasoning + Acting）循環：接收輸入→ 思考（呼叫LLM）→ 決定行動→ 呼叫工具→ 取得結果→ 再思考→ 迴圈。 OpenClaw 做的工程最佳化包括：高頻訊息調度（Steer/Collect/Followup/Interrupt 四種策略）、LLM 雙層容錯（認證輪轉+ 模型降級）以及可選思考分級機制（6 個等級）。

但LLM 是機率性本質、輸出是不確定的。 Agent 是非確定性的執行者，在非確定性的環境中做出不可逆的動作。

首先是上下文壓縮導致的約束丟失：安全約束本身也是上下文的一部分，當上下文被有損壓縮時安全約束可能被丟棄。其次是prompt injection：有人故意在Agent 會處理的內容中嵌入隱藏指令，讓Agent 把內容當成使用者指令來執行。兩者的共同根源是：Agent 的行為邊界是用自然語言定義的，而自然語言是模糊的、可操縱的、可被有損壓縮的。

一個例子是Meta 超級智慧實驗室對齊主管Summer Yu 要求Agent“建議一些可以刪除的郵件”，但Agent 直接刪除了數百封郵件（上下文視窗溢出後觸發壓縮，“建議”這個關鍵約束被丟掉）。

在這種情況下，我們需要的不是更好的prompt engineering 而是結構性的安全機制：可審計的操作日誌、可編程的權限邊界、以及在出錯時可以追責和補償的經濟系統。這些東西恰好是智能合約和鏈上基礎設施擅長的。

第四層：記憶系統－持久性與可遷移性問題

OpenClaw 實現兩類記憶：每日工作記憶（YYYY-MM-DD.md 檔案）和長期精華記憶（MEMORY.md，去重歸類提煉的關鍵偏好）。檢索時以向量檢索+ BM25 混合模式。

會話預設每天凌晨4 點重置。上下文視窗不斷被壓縮和摘要。當上下文逼近token 上限時，OpenClaw 的做法是觸發會話壓縮，用LLM 把先前的對話摘要成更短的版本。在壓縮前先執行一次Memory Flush，給Agent 一次機會把關鍵訊息寫入持久性記憶。這本質上是在賭Agent 自己知道什麼資訊是關鍵的。一個非確定性的系統來判斷什麼是關鍵訊息，這本身就是不確定的。

OpenClaw 所有記憶存在本地檔案系統，換電腦就沒了；與其他Agent 協作時沒有共享記憶機制；Agent 的知識和經驗被鎖死在運作的那台機器上。 Sub-Agent 協作僅限於同一個OpenClaw 實例內部，一旦涉及跨實例、跨組織的Agent 協作，系統就無能為力。 GitHub 上開發者的回饋：決策記錄在聊天歷史中但沒有持久化artifact，交接模糊，知識傳遞不完整。

5.3 Agent 經濟結構性問題

上下文不流動：所有問題的根源

空間鎖定：Agent 的記憶和知識存在運行它的那台機器上，換台電腦就沒了
信任隔離：Agent A 聲稱“用戶上週說了偏好X”，Agent B 沒有任何方式驗證真偽
無法發現：想找一個「擅長DeFi 分析」的Agent？沒有標準化的發現機制
價值未定價：Agent 累積的領域知識和用戶偏好顯然有經濟價值，但目前沒有定價或交易的方式
預設暫時：上下文隨時可能被壓縮、摘要，或在會話重設時遺失

要讓上下文真正流通，它需要同時具備五種屬性：能跨越信任邊界、有經濟屬性、無需gatekeeper 可被發現、保留決策痕跡、適應消費者需求。目前沒有任何單一協議能同時提供這五種屬性。 MCP 解決「AI 模型怎麼呼叫工具」。 A2A 解決「Agent 怎麼和Agent 通話」。 x402 解決「Agent 怎麼付錢」。但「Agent 怎麼在不可信環境中自主發現、評估和使用上下文數據」還沒有答案。

協調悖論

Agent 只需要足夠的上下文就能推理。但跨組織協調需要所有的歷史脈絡。

一個Agent 在想“該不該訂這趟航班”，當前會話的精簡信息就夠了。但當它需要和供應鏈Agent、財務Agent、日曆Agent 協調（可能在不同平台上、由不同組織運作）時：它們共享哪些上下文？怎麼驗證？所有權歸誰？

Gartner 預測到2027 年超過40% 的Agentic AI 專案將因成本不斷攀升、商業價值不明或風險控制不足而被取消。但70% 的開發者反映，核心問題是與現有系統有整合問題。根本原因是，Agent 是非確定性的執行者，企業要確定性結果。一個不確定的執行者在不確定環境中和不確定的合作者協作，沒有可驗證的信任層，這個組合不可能產生可靠輸出。

目前跨平台Agent 合作的需求還非常小。使用者只是想要一個能幫他們工作的AI，不在乎它能不能和別的Agent 合作。協調悖論是一個真實的技術問題，但它是否會演變成一個大規模的商業問題，取決於Agent 的使用方式是否從個人工具進化到多Agent 協作網路。

把上面的分析組合起來，就得到一個架構概念：

底層是Agent進行推理的地方，短暫的、token-bound的。 OpenClaw、Claude Code、Cursor 都在這裡。需要快速反應，專注當前任務。

上層是協調發生的場所：持久的、可驗證的、有經濟定價的。跨組織知識在此積累，溯源鏈在此維護，信譽在此運作。

兩層有不同的需求：Agent需要簡潔性，而組織需要歷史記錄。 Agent需要速度，而稽核追蹤需要永久性。 Agent以機率方式運行，而企業需要確定性的結果。目前大多數架構試圖合併兩層，不可能成功。

那是否可以添加一個模組化的附加元件，無需許可即可橫向部署，適用於所有代理系統——具有可信的中立性、持久性和可驗證性？這個元件提供上下層之間的受控介面, 允許context在需要時向下流動，並允許做出承諾時向上流動。執行前，從去中心化知識圖譜解析並注入相關上下文子圖；執行後，將操作作為可驗證交易提交到鏈上，附帶溯源(provenance) 和聲譽更新。這一層的核心假設也是上下文流動性有價值: 如果大多數Agent用戶不需要跨平台協作（例如一個人只用一個OpenClaw處理一切），那麼中間層就沒有真實需求。

中間層如果只做上下文可攜帶性，大機率失敗。但如果聚焦多方互不信任場景下經濟活動的可驗證性和聲譽的可遷移性這些有明確經濟誘因驅動的用例，成功機率高得多。 IronClaw也是朝抽像中間層方向走的一種嘗試－把執行環境和憑證管理分開到可驗證的安全層。但它仍然是Near生態內部的方案，缺乏跨平台的通用性。

Crypto 的真實切入點

大部分Agent 經濟的需求其實都能用Web2 方案解決。 Crypto 在Agent 經濟中的不可替代性只存在於一個場景：當你需要跨組織、跨平台、無需許可的互通性，且參與者之間沒有預先建立的信任關係時。例如：Agent A（運行在OpenClaw 上，owner 是用戶甲）需要雇用Agent B（運行在Claude Code 上，owner 是用戶乙）完成一個任務。它們之間沒有共同的平台、沒有共同的帳號體系、沒有預先的商業關係。在這個場景下，鏈上身分（8004）、鏈上支付（x402）、鏈上聲譽確實比任何中心化方案更合適——因為沒有一個中心化平台能同時涵蓋所有Agent 框架。

並且，Agent 能付錢了不代表它該付錢。 F500 公司因為Agent 在retry loop 裡重複付費損失了4 億美元。在Agent 能自主支付之後，最有價值的是幫Agent 判斷該不該付這筆錢的決策基礎設施。

目前Crypto 對Agent 經濟是“nice to have”，除非Agent 間的跨平台經濟互動達到足夠的規模，但當足夠多的Agent 不再綁定到某個特定人類的銀行帳戶時（Agent 本身變成了獨立的經濟實體而非人類工具），傳統金融軌道就覆蓋不了它們了，此時穩定幣是它們大規模資金的最佳方式（甚至可以說是唯一的交易方式。變成must have 可能的三個觸發條件：

Agent 開始大規模僱用其他Agent：例如企業IT 環境中不同供應商的Agent 系統需要互通（類似今天的企業API 集成，但更複雜）
Agent 開始24/7 跨國交易：一個Agent 編排的工作流程可能同時調用美國的LLM 端點、歐洲的資料提供者、東南亞的算力集群，不應該需要三套不同的支付軌道。穩定幣是全球性的、7×24 小時的。這個優勢在Agent 的always-on、跨時區場景中比對人類更突出。
微支付達到傳統軌道無法承受的頻率：目前Agent 在鏈上做的微交易（API 調用、數據查詢、計算資源）平均每筆只有$0.09，而Stripe 光手續費就$0.35+2.5%，比交易本身貴4 倍；當一個Agent 需要調用幾萬次API，傳統支付處理商無法承保瓶頸。

安全威脅與鏈上基礎設施的必要性

「Siri 悖論」是理解整個Agent 賽道的關鍵框架：Siri 安全是因為它被閹割了，OpenClaw 有用是因為它危險。要讓AI 真正做事（處理郵件、預訂航班、部署代碼），它必須擁有廣泛的系統權限。廣泛的權限天然意味著更大的攻擊面。

OpenClaw上最著名的正面案例是：用戶讓Agent訂餐廳，但OpenTable沒空位，Agent沒有放棄，而是自己找到AI語音軟體，下載安裝，打電話給餐廳成功預訂。這種自主解決問題的能力是人們夢寐以求的。但同樣的自主性也意味著如果判斷出錯，後果以機器速度擴散。

有人把Steinberger 加入OpenAI 稱為「AI Agent 的iPhone 時刻」。但在那之前，必須有一個安全基礎設施就緒的階段。否則大規模使用就是大規模損失。 Chopping Block 預測的「AI-generated $100M+ hacks」如果真的發生，有兩種走向：要么公眾恐慌導致Agent 採用倒退（類似2016 年DAO 事件後的以太坊行業的爆發），要么催生出真正的Agent 安全基礎設施（類似DAO 事件後智能合約審計行業的爆發）。我們傾向於後者。因為Agent 的需求是真的：

惡意Agent 識別>> 8004 聲譽系統。如果每個Agent 都有鏈上身分和公開聲譽記錄，惡意行為會留下不可竄改的記錄。其他Agent 在信任之前可以查鏈上聲譽。當然需要聲譽系統夠成熟——不是簡單評分，而是多維度、時間加權、有反刷榜機制的信任模型。
惡意Skills 審核>> Validation Registry。如果Skills 的程式碼審計結果記錄在8004 的Validation Registry 中－由獨立驗證者（staked 服務、zkML 驗證者、TEE 預言機）審核－typosquatting 的效果大幅降低。安裝Skill 前查鏈上驗證狀態就行。
憑證外洩>> x402 的「付款即授權」。 x402 消除了API Key 管理問題。 Agent 不需要儲存長期憑證－每次需要服務時直接付款以取得臨時存取權。結合EIP-712 簽名綁定（把服務使用權和付款地址綁定），即使token 洩漏也無法被他人使用。
行為失控>> 鏈上稽核日誌+ 可程式權限。無論是外部攻擊者註入指令（prompt injection），或是系統本身在壓縮時丟掉約束（context loss），結果都是Agent 執行了超出預期的操作。智能合約可以定義Agent 的行為邊界－例如「單筆交易不超過X 金額」、「刪除作業需要多簽確認」。鏈上操作日誌不可篡改，出問題可以追溯。這比在prompt 裡加「請先徵求同意」可靠得多，因為prompt 級別的約束會被壓縮丟掉，但智能合約等級的約束不會。

當然，鏈上基礎設施只能緩解安全問題的後果，不能預防。智能合約可以限制“單筆不超過X 金額”，但Agent 被injection 後在限額內持續做壞事呢？每筆$0.09 的惡意交易做一萬次也是$900。安全的真正解決需要在Agent runtime 層（TEE/沙箱）和鏈上層（權限/稽核）雙管齊下。只做鏈上一層是不夠的。

第六章產業綜合分析

傳統的技術護城河（工程能力、團隊規模、執行效率）正在被AI 工具均質化。任何一個有idea 的人，透過OpenClaw 或Claude Code，都可以在極短時間內實現產品原型。這意味著：

小團隊的窗口期比任何時候都短（大團隊用同樣的工具追上來會更快）。
first-mover advantage 在idea 層面的價值比以往更高，因為你的Agent 可以比任何競爭對手都快地迭代。
最稀缺的不是技術能力，而是對正確問題的判斷力。

賽道的真正競爭不在Crypto 內部

很多人在比較哪個L1/L2 做Agent 做得更好——Base vs Solana vs 以太坊vs Near。但真正的競爭在Crypto 方案vs Web2 方案之間。

例如Sapiom 拿了$15.75M，做的是Web2 路線的Agent 服務存取管理。極端情況下，如果Sapiom 的方案夠好——Agent 透過它取得所有Web2 服務的存取權，不需要碰鏈上支付——那x402 就沒有存在的必要了。 Stripe 的虛擬卡方案如果能透過商業談判解決反自動化問題（說服商家對特定虛擬卡取消CAPTCHA），第二階段方案可以維持更久。也就是目前Visa、Mastercard、Stripe 正在爭奪的戰場，授權範圍內的受控代理。核心是虛擬卡+專用支付API。將信任關係從「信任一個不確定的AI」轉變為「信任一個參數決定的、由發卡機構控制的支付工具」。目前最適合大規模應用，但在B2B agentic 場景成長到另一個量級時，授權資訊的可程式性和銀行卡的資訊資料量限制會成為瓶頸。

x402 能贏的前提條件是它的「付款即授權」模式在成本、延遲和開發者體驗上都優於「中間層代理管理」模式。目前x402 在微支付場景有優勢（低至$0.001/筆），但在需要複雜權限管理的企業場景可能不如Web2 解決方案。

同理，8004 能贏的前提是：鏈上身分和聲譽比中心化平台管理的身份系統（如ClawHub 自己的審核機制）更有用。目前8004 的採用還不夠廣泛，查鏈上聲譽的體驗不如看平台評分。 Meta 收購moltbook 也是看中Agent 驗證和註冊表（directory）這個底層能力。想把Agent 身份層掌握在自己手中。

Crypto 方案不能滿足於理論上更好。它必須在開發者體驗和使用者體驗上追上甚至超過Web2 方案。否則就會像許多Crypto 產品一樣，去中心化的理念很好但用起來太麻煩沒人用。

傳統支付巨頭定義了adoption timeline

市場將沿著三階段演進。未來3-5 年Stripe/Visa 方案將主導早期市場－向後相容性無敵，Agent 可以立即和全球數百萬已接受信用卡的商家交易。 5 年以上，第二階段的痛點累積到無法忍受——缺乏編程能力的授權系統、無法構建足夠身份信息的agentic ID、高昂微交易費用、緩慢跨國結算——市場自然轉向第三階段的Crypto 基礎設施。

這意味著Crypto 方案不需要今天打敗Stripe。而是需要在未來3-5 年內完善基礎設施，等第二階段方案觸頂時接棒。現在是基礎建設競賽，還沒到市佔率爭奪。當然，基礎設施需要提前就位，但光有基礎設施不會自動產生採用，需要一個應用層的爆發來啟動它。 TCP/IP 在1970 年代發明，但直到1990 年代萬維網瀏覽器出現才被大規模使用。目前我們可以看到基礎設施逐步在完善，但沒人大規模使用。例如x402 在2025 年大半年裡是技術上可用但缺殺手級用例的協定。我們需要更多應用程式出現，把這些基礎設施串聯成一個可用的堆疊。 OpenClaw/Moltbook 的爆發是我們看到的第一個需求引擎——突然間有數十萬Agent 需要支付、身份、聲譽，x402 和8004 從可用變成了被用。

賣鏟子比淘金更賺錢

整個Base 龍蝦生態驗證了一個古老的投資智慧：淘金熱中賺錢最穩的是賣鏟子的人。

Felix 賺了7.5 萬美元。但Clanker 從6.4 萬次代幣部署中賺的手續費遠超此數。 ClawRouter 賣LLM 路由服務（$0.003/請求）。 ClawCloud 賣Agent 算力。 Venice 賣推理額度並透過VVV/DIEM 模型將算力金融化。這些基礎設施提供者的商業模式遠比Agent 自主賺錢更成熟可靠。

Agent 品類共同需要的基礎設施－身分、支付、安全、協調、運算資源。無論哪個Agent 框架勝出（OpenClaw、IronClaw、OpenAI 的下一代產品），它們都需要這些。 Karpathy 創造的「Claws」一詞抓住了一個比OpenClaw 更大的趨勢——本地化、持久化、自主化的AI Agent 是一個品類，Crypto 基礎設施要服務的是整個Claw 類別。 IronClaw（Near 的TEE 安全版本）、各種企業客製化的Agent 框架、OpenAI 將要推出的integrated Agent 都屬於這個品類。 OpenClaw 是這個品類的先行者，但不會是唯一一個。

Product-Agent Fit 將取代Product-Market Fit

多個平台（淘寶、小紅書、微博、雪球）開始封鎖OpenClaw 用戶帳號，因為Agent 透過瀏覽器模擬作業繞過了這些平台的反爬機制。平台方和Agent 用戶是天然對立的。平台的商業模式建立在人類使用者的注意力上，Agent 用戶消費資料但不產生廣告價值。

傳統行銷依賴眼球經濟——精美圖片、影片廣告、限時按鈕——針對人類衝動消費的策略。 Agent 是絕對理性的決策代理，只關注API 回傳資料是否清晰、參數是否完整。它比較產品規格、歷史價格、物流時效、使用者評估甚至碳足跡。不會有使用者心智佔領。未來的護城河不是品牌（Agent 不認品牌），不是UX（Agent 不用介面），而是資料結構化程度、API 穩定性、MCP 相容性、和鏈上可驗證的服務品質記錄。

網路商業模式有可能向按爬取付費轉型，Agent 作為服務消費者，不再用廣告支撐的免費模式，而是直接支付數據檢索費用：每次數據查詢、每次API 調用、每次服務使用都需要直接支付微小的費用並且幫助Agent 合規地訪問平台數據需求。這正是x402 解決的問題，透過直接付費獲得資料存取權並且支援微交易。而這個世界已經出現了早期形態：Lord of a Few 在一周內上線了80+ 個x402 付費端點，每個$0.50 構建成本，收費幾美分到幾十美分。

另外，當買賣雙方都是Agent 時，利潤池如何被重新分配？