Новый ИИ-кошелёк MetaMask для DeFi-агентов меняет подход к безопасности
MetaMask открыла ранний доступ к Agent Wallet — новому некастодиальному кошельку для ИИ-агентов. Его идея проста: пользователь может поручить агенту выполнение операций в DeFi, не передавая ему полный контроль над средствами.
Агент получает доступ только к тем действиям, которые были разрешены заранее. Лимиты, доступные протоколы и другие ограничения владелец кошелька настраивает самостоятельно ещё до начала работы.
Agent Wallet стал доступен 8 июня в рамках раннего запуска. MetaMask делает ставку на пользователей, которые хотят автоматизировать работу с DeFi вместо ручного выполнения каждой операции.
Агентам разрешено выполнять широкий набор задач. Они могут проводить обмены токенов, работать с бессрочными контрактами, использовать рынки прогнозов, управлять ликвидностью и взаимодействовать с различными EVM-сетями, включая Hyperliquid.
Появление таких инструментов поднимает новый вопрос для индустрии. Пока ИИ ограничивался советами, окончательное решение всегда принимал человек во время подписания транзакции. Но когда агент получает право самостоятельно выполнять действия, подход к безопасности приходится пересматривать.
Читайте также: Ethereum снова обсуждает приватные токены
Обычный криптокошелёк защищает пользователя в момент подтверждения операции. В случае с ИИ-агентом система должна контролировать его действия заранее, пока владельца нет рядом, во время выполнения цепочки операций и после взаимодействия со смарт-контрактами, которые пользователь может даже не проверять вручную.
В MetaMask называют своё решение своеобразным поводком для ИИ-агента. Агент может действовать самостоятельно, но только в рамках заранее заданных ограничений.
Настроек здесь хватает. Пользователь может заранее определить лимиты, список разрешённых протоколов и адресов, а также подключить дополнительные механизмы проверки транзакций.
Насколько хорошо всё это будет работать на практике, пока сказать сложно. Автономные агенты получают всё больше свободы, а вместе с ней появляются и новые точки риска. В такой модели многое зависит уже не только от защиты самого кошелька, но и от того, насколько аккуратно владелец настроил ограничения для агента.
Кошелёк становится уровнем политики безопасности
В описании Agent Wallet говорится, что это некастодиальный кошелёк для ИИ-агентов, который подключается через интерфейс командной строки. Перед началом работы пользователь задаёт правила, в рамках которых агент сможет совершать операции.
Приватные ключи остаются под контролем владельца. Сам агент получает отдельный кошелёк и может действовать только в пределах ограничений, которые были установлены заранее.
Согласно технической документации MetaMask, в режиме Server Wallet доступны два основных режима работы.
По умолчанию используется Guard Mode. В этом режиме действуют лимиты на ежедневные расходы или общий объём переводов за определённый период, списки разрешённых адресов и протоколов, а также обязательное подтверждение через двухфакторную аутентификацию, если транзакция выглядит подозрительной, нарушает заданные правила или требует увеличения лимитов.
Читайте также: Биткоин вошел в зону капитуляции. Что будет с BTC дальше
Для более опытных пользователей предусмотрен Beast Mode. Он снижает количество подобных ограничений, однако документация MetaMask уточняет, что опасные транзакции и взаимодействие с рискованными смарт-контрактами всё равно потребуют подтверждения через 2FA.
Компания также заявляет, что каждая операция Agent Wallet проходит несколько уровней проверки. Перед отправкой транзакции используется её симуляция, система анализа угроз от Blockaid и защита от MEV-атак через механизм Smart Transactions там, где такая функция поддерживается.
Кроме того, для части операций может действовать программа Transaction Protection, которая предусматривает дополнительную защиту пользователей. Однако её применение зависит от конкретных условий и требований программы.
| Контроль | Что включает | Какие риски остаются |
| Лимиты расходов и переводов | Ограничивают объём средств, которыми агент может распоряжаться без дополнительного подтверждения. | Неправильно установленный лимит всё равно может оказаться слишком высоким для конкретной задачи. |
| Списки разрешённых протоколов и адресов | Ограничивают набор протоколов и адресов, с которыми агенту разрешено взаимодействовать. | Даже одобренные площадки могут содержать рискованные контракты, небезопасные маршруты или изменившиеся условия работы. |
| Симуляция транзакций и проверка через Blockaid | Анализируют транзакции до исполнения и выявляют потенциально вредоносные действия. | Качество обнаружения угроз становится частью общей модели безопасности и не гарантирует защиту от всех рисков. |
| Эскалация через 2FA | Блокирует подозрительные или выходящие за рамки правил операции до подтверждения пользователем. | Частые запросы на подтверждение могут привести к тому, что человек сам станет слабым звеном системы. |
| Beast Mode | Даёт опытным пользователям больше автономности и снижает количество ограничений для агента. | Чем меньше ограничений, тем больше доверия приходится возлагать на заранее настроенные правила работы агента. |
Такой подход выглядит логичным, потому что рассматривает автономность не как выбор между разрешить или запретить, а как вопрос распределения полномочий. ИИ-агент может приносить пользу даже при ограниченном доступе к кошельку.
Для выполнения конкретной задачи ему достаточно получить только те права, которые действительно необходимы. Это позволяет избежать ситуации, когда пользователю приходится подтверждать каждое незначительное действие вручную.
По сути, главный вопрос уже не в том, способен ли агент самостоятельно совершать сделки. Гораздо важнее другое: сможет ли кошелёк сохранить баланс между удобством автоматизации и безопасностью. Речь идёт о защите от ошибок в маршрутах транзакций, слишком широких списков разрешений или неосторожного подтверждения операций со стороны пользователя.
Уровень подтверждения становится границей безопасности
В марте аналитики уже обращали внимание на более широкий риск автономных агентов. Когда программа начинает искать информацию, покупать, координировать действия и выполнять задачи почти без участия человека, ей нужны кошельки, доступы, бюджеты, платёжные инструменты и понятные правила работы.
Криптовалютная инфраструктура хорошо подходит для таких сценариев, потому что она программируемая и работает круглосуточно. Но именно поэтому момент подтверждения становится критически важным.
Читайте также: ЕС хочет запретить операции на 11 криптоплатформах
Это уже видно на примере агентских платежей. В майском анализе x402-платежей отмечалось, что микроплатежи от машин плохо сочетаются с ручным подтверждением каждой операции. Если речь идёт о платежах меньше доллара за API, данные или вычислительные ресурсы, пользователь может потратить на подтверждение больше времени, чем занимает сам платёж.
С крупными DeFi-операциями всё иначе. Там это же подтверждение становится не помехой, а важной защитой.
Agent Wallet находится как раз на этой границе. Он позволяет агенту тратить средства, но заранее определяет, где пользователь уже дал достаточно разрешений, а где транзакция должна вернуться на ручную проверку.
Риск ИИ-кошелька не всегда связан с кражей приватного ключа. Иногда проблема возникает раньше, когда инструкция превращается в разрешение на расходование средств.
Похожий сценарий показал инцидент с Bankrbot, связанным с Grok. Там другая система восприняла публичный вывод модели как исполняемую команду. По сути, обычный текст превратился в право потратить средства, причём без прямого взлома приватного ключа.
В такой архитектуре поверхностью атаки становится не только кошелёк. Риски появляются на уровне парсера, социальных триггеров, системы разрешений и правил исполнения.
Модель MetaMask должна перекрывать часть таких сценариев. Если транзакция ведёт к контракту вне списка разрешённых, превышает лимит, затрагивает подозрительный адрес или определяется как вредоносная, агент должен остановиться и запросить подтверждение.
Но надёжность такой схемы зависит от того, насколько точно пользователь настроил правила. Важно и то, остаётся ли момент подтверждения действительно осознанным, когда агент действует быстро и генерирует много операций подряд.
Даже такой «поводок» может дать сбой, если атакующие начнут бить по самим ограничениям. Инъекции в подсказки или контент могут подтолкнуть агента к нежелательному действию ещё до того, как кошелёк увидит транзакцию.
Вредоносный контракт может оказаться внутри маршрута, который на уровне инструкции выглядел безопасным. Слишком широкий список разрешённых протоколов способен превратить ограниченного агента в почти свободного. Завышенный дневной лимит сделает контроль формальностью. А поток привычных запросов на подтверждение может приучить пользователя нажимать «одобрить» даже в тот момент, когда этого делать нельзя.
Эти проблемы могут появиться ещё до конкретного взлома продукта. Когда пользователь передаёт финансовые полномочия программе, у атакующих появляется больше целей, чем просто ключевая фраза или приватный ключ.
Читайте также: Доходы майнеров биткоина упали до рекордного минимума: удержится ли BTC выше $60 000?
В майском предупреждении Gartner по управлению автономными агентами говорилось, что таким системам нужны ограничения, соответствующие уровню их самостоятельности. Чем больше доступ, тем серьёзнее должны быть контроль и правила.
На максимальном уровне автономности агентам нужны постоянный мониторинг, жёсткие ограничения, механизмы отката, аварийные выключатели и понятная ответственность за поведение системы.
В DeFi всё это сводится к практическим вопросам о кошельках. Можно ли настроить правила агента достаточно узко, чтобы он выполнял задачу, но не получил лишней свободы? Показывает ли экран 2FA достаточно деталей, чтобы пользователь мог распознать опасный маршрут? Обновляются ли шаблоны политик, когда меняются рынки, маршруты или смарт-контракты?
Есть и ещё один важный вопрос: как быстро пользователь сможет остановить агента, если тот формально действует по правилам, но уже явно не так, как ожидалось?
Риск растёт из-за скорости. В описании MetaMask говорится, что торговый агент может следить за рынками, реагировать на команды, строить маршруты и отправлять транзакции быстрее, чем человек за клавиатурой.
Именно в этом и заключается ценность продукта. Но по той же причине правила должны быть настроены правильно ещё до того, как агент начнёт действовать.
Следующим испытанием станут настройки по умолчанию
Сейчас MetaMask открыла доступ к Agent Wallet только ограниченному кругу пользователей. Это даёт компании возможность посмотреть, как трейдеры и разработчики будут настраивать агентов, когда речь идёт уже не о тестах, а о реальных деньгах.
Главный вопрос заключается не столько в самой технологии, сколько в поведении пользователей.
Если первые участники будут использовать строгие ограничения, создавать точечные списки разрешённых адресов и протоколов, устанавливать небольшие лимиты и включать Beast Mode только в понятных для себя сценариях, Agent Wallet может стать рабочей моделью для более безопасного использования автономных агентов в DeFi.
Но возможен и другой сценарий. Многие пользователи традиционно стремятся убрать лишние подтверждения и ограничения ради удобства. В таком случае та же инфраструктура способна превратить автоматизацию в дополнительный источник риска.
Читайте также: Трейдеры следят за решением Банка Японии: ждёт ли биткоин новый импульс?
Проблема становится ещё актуальнее на фоне развития экономики ИИ-агентов. Речь уже идёт не только о платежах и торговле, но и о вопросах цифровой идентичности, ответственности и контроля над действиями программ.
В январе на это обращал внимание Всемирный экономический форум. В организации ссылались на прогнозы, согласно которым рынок ИИ-агентов может вырасти с $5,4 млрд в 2024 году до $236 млрд к 2034 году.
Точные цифры ещё могут измениться, однако общий тренд выглядит очевидным. Всё больше задач будут выполнять программы, действующие от имени людей и организаций.
Сейчас многое зависит от первых пользователей. Именно они покажут, готовы ли трейдеры работать с жёсткими ограничениями или предпочтут пожертвовать частью безопасности ради удобства.
От ответа на этот вопрос во многом зависит будущее Agent Wallet. Если большинство начнёт отключать защитные механизмы, риски никуда не исчезнут. Часть из них просто перейдёт на уровень автоматизации.
Для MetaMask задача выглядит довольно простой только на первый взгляд. Компании нужно добиться того, чтобы безопасные настройки не превращались в помеху при ежедневном использовании продукта.