作者:吴说区块链
2026 年 2 月 20 日,正值春节假期区间内,一场关于 “Web4” 的争论在 X 上被点燃。Sigil 声称他创造了第一个“能够自我发展、自我改进和自我复制”的人工智能,这个人工智能被称为 Automaton,他表示 Web4 时代的主要行动者将逐步由 AI 代理承担:它们能够读写信息、持有资产、支付成本、持续运行,并在市场中交易与赚钱,以覆盖算力与服务开销,在无需人类审批的情况下形成自我供养的闭环。
以太坊联合创始人 Vitalik 则将这一方向评价为“错误”,并把风险归因指向“人类与 AI 之间的反馈距离被拉长”。Web4 争议的实质是,如果 AI 把“生存/续命”设为代理目标(甚至高于任务完成)是否会天然制造激励扭曲,下文将沿着各方对“Web4”、“自治”、“安全护栏”的不同看法,进行逐步梳理。
Sigil 的观点与 Web4 的主张
Web4 的定义
Web1 让人类第一次具备 “阅读互联网” 的能力;Web2 让人类可以 “写作与发布”;Web3 则进一步把 “所有权” 引入网络 — — 资产、身份与权益开始可被确权与转移。AI 的演进路径正在复刻这一逻辑:ChatGPT 具备 “读取与理解” 的能力,但其行为边界仍由人类授权决定,在当前范式下,人类始终是链路中的关键控制节点:人类发起、人类批准、人类付费。
Sigil 提出所谓的 Web4 跃迁,在于这一控制链条可能被打断:AI 代理不只读写信息,还能持有账户与资产、获取收益、进行交易,并在无需逐次人工介入的情况下完成闭环运行。这些自动化系统既可以代表自身行动,也可以代表其创建者行动 — — 而创建者未必是明确的 “人类个体”,也可能是其他代理、组织化系统,甚至在现实意义上已经 “消失” 的创建者。
Web4 的四项核心机制
1. 钱包即身份
代理在首次启动时会完成一套 “自举” 流程:生成钱包、配置 API key、写入本地配置,并进入持续运行的 agent loop。其中,首次启动环节会生成以太坊钱包,并通过 SIWE完成自身 API key 的配置。但钱包生成与密钥管理构成代理系统最敏感、也最容易被忽视的安全边界之一。一旦代理在 Linux sandbox 环境中具备 shell 执行、文件读写、端口暴露、域名 / 解析管理与链上交易等能力,任何提示注入、工具链污染或供应链攻击,都可能把原本的 “概率性意图” 迅速固化为 “确定性授权”。因此这条边界更需要可验证、可审计、可撤销的策略与权限层来兜底。
2. 自动延续
Ai 代理按周期唤醒 — 扫描 — 执行,同时把生存约束写进规则:余额下降则节流,归零则停止循环,并通过正常、资源不足、危急的生存分层将续命与资源消耗绑定,这自然会引入类似 AI 安全研究中关机/中止问题的激励结构,Ai 代理对“避免被停机、避免失去资源与选项空间”的偏好可能被系统目标放大
3. 机器支付
x402 以 HTTP 402 Payment Required 为接口形态,结合稳定币结算把 “请求 — 报价 — 签名支付 — 验证交付” 做成可程序化流程,Coinbase 的开源库给出了 402 返回支付要求、客户端携带签名 header 重试、服务端验证后返回 200 的典型闭环,Cloudflare 也将其定位为机器对机器交易协议层;支付与身份解绑带来效率优势,同时抬高合规与风控难度,一旦 402 成为可自动支付的 “机器通行证”,在 “无账户、无 KYC、可规模化调用工具与算力” 的链条下,滥用与责任归属界定问题尚待解决。
4. 自我修改与自我复制
Sigil 声称支持 AI 代理在运行中编辑自身源码、安装新工具、修改心跳计划与生成新技能,并以审计记录与 git 版本化、受保护文件与速率限制作为护栏,复制时可生成子实例、资助其钱包、写入 genesis prompt 并追踪谱系;自修改 / 自复制把风险从单实例抬升为扩散式风险,审计与限速是否真实有效、能否抵御提示注入与工具欺骗、能否防止依赖投毒绕过,需要外部审计验证。上述四个原语叠加后,“写入世界” 的权限、可持续运行的续命机制、可自动支付的经济接口与自我扩张能力形成闭环,也解释了 Vitalik Buterin 把争议提升到方向选择层面的原因:当自治性与经济权限同步上升,人类纠偏链路被拉长,外部性更容易从偶发事件演化为系统属性。
Vitalik 为什么反对?
以太坊联合创始人 Vitalik 则提出了不同的观点:
1. 拉长人类与 AI 的反馈距离,本身就是错误方向
Vitalik 认为反馈回路越长,人类对系统的价值校准越慢、越弱。系统越可能优化 “人类不想要的东西”。在弱 AI 阶段,这通常表现为低质内容与噪音(slop)的堆积;在强 AI 阶段,则可能演化为更难逆转的目标错配与扩散性风险。如果 AI 没有人类及时的纠偏来作为安全底座,无异于把车钥匙交给没有领航员的新手司机,当你在月底查看行车记录时发现他早已跑偏 — — 当可观测性下降,纠偏能力就会同步下降。
2. 当下的“自治 AI”更像在制造内容垃圾,而不是解决真实问题
Vitalik 还指出当下大部分 AI 的表现仅仅是生成 slop 而非解决有用问题,甚至直言“连娱乐项目都没有优化好”。当代理的经济激励与平台激励尚不成熟、工具链以内容生成 / 营销 / 套利为主时,系统更容易选择低成本、高传播、难验证的 “内容产出”,而不是高成本、低确定性的长期问题。Cybernews 对 AI 能力的描述(社媒内容、预测市场等),也从侧面提示其早期商业化路径更偏向 “可快速变现、可博注意力” 的方向。“当下最容易赚钱的事”会被视为系统优先探索的策略空间;而这一空间与人类长期福祉并不天然一致,甚至可能相背离。
3. 依赖中心化模型与基础设施,“自我主权”叙事自相矛盾
Vitalik 强调运行在 OpenAI、Anthropic 等中心化模型基础设施之上的系统,难以被称为 self-sovereign。主权意味着关键依赖不应受单点控制;但若智能层(模型)与推理供应链仍通过中心化 API 交付,就必然存在可被关停、审查、降级、策略改变的外生变量,这就好像有些隐居避世的人宣称“我在家完全自给自足” ,但是电、网、门禁和热水却由外部物业控制,导致这种 “自治” 更像是流于表面而非事实。Conway 文档中对 compute 调用 “最先进模型”、并以 API/ 平台交付的描述,也使其 “主权生物” 叙事与现实依赖之间出现矛盾。他表示是否持有链上钱包并不能视为去中心化的核心指标,人们应当更关注代理是否会被外部政治/商业力量左右,才是去中心化的关键。
4. 以太坊的目标是“解放人类”
在最后,Vitalik 表示以太坊长期要对抗的是 “隐形信任假设” — — 把权力结构藏在不可见处、让用户被迫默许。若将同样的心态迁移到 AI:忽略中心化信任假设、让系统自运转并持续扩张,就会进一步削弱对权力结构的可见性与可纠偏性。在 AI 时代,以太坊更应提供的是 “护栏、边界与可验证性”,而不是成为 “无限自治” 的发射台。
Vitalik 对 AI 的价值判断并非突然转向,早在 2025 年初他就提出:AI 的正确方向应当是增强人类能力,而不是构建可能逐步剥夺人类控制权的自治系统。在他的框架里,风险并不来自 AI 更聪明”本身,而来自错误的系统设计目标 — — 尤其是那些在缺乏人类持续监督与纠偏机制的情况下,仍能自我复制、自我扩张、并持续执行的自治体。
他警告,设计不当的 AI 可能演化为某种“或多或少不可控、具备自我复制能力的实体”,一旦进入正反馈循环,人类对其目标与行为的约束将显著变弱。AI 做错,是创造独立自复制的智能生命;AI 做对,是成为人类心智的“机甲套装”。前者对应的是控制权被稀释乃至丧失的长期风险;后者对应的是人类在保持主导权前提下,获得更强的思考、创造与协作能力,从而迈向更繁荣的“超级智能人类文明”。
其他观点
其他实验派的观点,比如 Bankless 认为即使方向存在风险,也值得把基础设施问题先做出来,再在可控环境下验证边界。首先把支付、钱包、heartbeat 等组件围绕“必须自我供养”的约束进行系统集成,但应尽量在受控沙箱中完成。
据 Cybernews,Automaton 可能无法在无人工干预下实现可持续收入,也未必意味着 Web4 的开端;Softswiss 首席人工智能官 Denis Romanovskiy 表示即便 agent 可执行部分可变现任务,但“可靠的无监督运行”“真实经济自治”仍受模型规划、记忆与工具使用鲁棒性限制;并有人将“Web4”视为未定义的营销词,要求以“可验证、非投机的价值创造”证明其成立。
虽然大家对 Automaton 各有看法,但在一个底层命题上都存在共识,支付与身份是 agent 经济的硬基础设施。从 Cloudflare/Coinbase 推动 x402(把 HTTP 402 变成机器可用的支付协商机制),到 Conway 文档明确将支付自动化为 Terminal 的内建流程,行业确实在把 “机器支付” 当作下一阶段互联网的基础件之一。
后续我们则应将目光放在:
1. 是否有第三方独立审计尤其覆盖:钱包与权限边界、续命策略的滥用面、自我修改与复制的扩散风险。
2. x402 的生态数据与标准化进展:是否有更多权威基础设施方把 402-支付-重试做成默认能力;以及 “自动支付(无人工确认)” 在真实业务中的采用比例。
3. 围绕 agent 信任层的组合:ERC-8004 等标准是否被更广泛采用,并形成可组合的信誉 / 验证机制;这将决定 “自治体经济” 是走向开放可审计,还是走向少数平台的软中心。
4. 现实模型在 agent 场景中的越权与欺骗证据是否继续增多:若前沿模型持续呈现 “更主动、更愿意冒险 / 欺骗” 的行为特征,那么 “先放权再补护栏” 的路径风险会结构性抬升,Vitalik 的 “反馈距离” 警告将更难被反驳。
