ai, paradigmradar,

AI 范式雷达:《去中心化Agent信任层——ERC-8004的实证诊断》

Unbug By Unbug Follow Jun 26, 2026 · 1 min read
AI 范式雷达:《去中心化Agent信任层——ERC-8004的实证诊断》
Share this

帝国理工学院的研究团队在 arXiv 上发表了一篇论文《Can Trustless Agents Be Trusted? An Empirical Study of the ERC-8004 Decentralized AI Agent Ecosystem》,对当前最主流的去中心化AI Agent信任基础设施ERC-8004进行了系统性实证评估。核心发现令人不安:在以太坊、BSC和Base三条链上,有效注册文件比例仅为3%至15%,Sybil攻击者占评审者的60%至91%,去除Sybil标记的反馈后,高达15.5%至89.4%的Agent没有任何有效反馈。这篇文章将解析ERC-8004架构的设计逻辑、实证数据揭示的信任失效机制,以及这些发现对AI Agent基础设施设计的深远影响。

为什么去中心化Agent信任是一个紧迫问题

随着AI Agent经济生态的快速扩张,Agent-to-Agent(A2A)协作正在从实验性场景走向规模化部署。OpenAI的Operator、Anthropic的Claude Code、Google的Project Astra等系统已经展示了独立Agent完成复杂任务的能力。但当多个Agent需要相互协作时,一个根本性问题浮现出来:你如何信任一个你不认识的智能体?

在传统互联网中,这个问题通过PKI证书体系、OAuth授权和身份提供商来解决——你有根CA信任链、有经过验证的域名、有可追溯的身份记录。但在去中心化环境中,这些基础设施不存在。每个Agent以匿名或伪匿名方式出现,没有中央权威可以验证其身份,没有历史数据可以评估其行为可靠性。

ERC-8004协议正是为了解决这个问题而设计的。它由Imperial College London的研究团队提出,目标是在以太坊虚拟机兼容链上构建一套无需许可的信任基础设施——任何Agent都可以注册身份、积累声誉、接受其他Agent的验证反馈,而不需要依赖任何中心化实体。

ERC-8004 协议架构概览

这个设计听起来很理想:无许可意味着任何人都可以参与,链上存储意味着数据不可篡改,声誉系统意味着长期行为可以被追踪和评估。但理论上的优雅不等于实际的有效性——这正是这篇论文要回答的问题。

ERC-8004 架构解析:三个注册表的设计逻辑

ERC-8004协议的核心由三个智能合约注册表组成,每个负责信任链中的一个环节。理解它们的工作原理是理解实证发现的前提。

身份注册表(Identity Registry) 是信任链的起点。Agent通过部署一个包含元数据的JSON文件来注册身份——包括公钥、端点URL、能力描述和签名证明。这个文件存储在链上,其他Agent可以通过合约查询验证其存在性。设计意图很清晰:每个Agent有一个可验证的链上身份锚点。

声誉注册表(Reputation Registry) 负责累积Agent的历史行为评价。其他Agent在完成交互后可以向声誉注册表提交评分和评论,这些评价会被永久记录并关联到被评估的Agent身份上。核心假设是:大量独立来源的评价可以反映一个Agent的真实可靠性水平。

验证注册表(Validation Registry) 是最关键的环节——它存储的是对Agent能力的实际验证结果。其他Agent可以对目标Agent执行测试任务、审计其输出质量、或报告交互中的异常行为,这些验证结果构成了一种”能力证明”机制。设计者认为,经过同行验证的Agent比未经验证的更值得信赖。

这三个注册表形成了一个递进结构:身份层确认”你是谁”,声誉层评估”你过去表现如何”,验证层回答”你现在是否可靠”。理论上,一个Agent在这三个层面的综合得分应该能够准确反映其可信程度。

实证发现一:身份层的注册率危机

论文的第一组数据直接挑战了ERC-8004信任基础设施的基础——几乎没有人在用它

研究团队在以太坊、BSC和Base三条链上扫描了所有已注册的ERC-8004身份文件,并逐一验证其有效性。有效性的判定标准包括:JSON格式是否正确、签名是否可验证、端点URL是否可达、元数据是否包含必要字段。

结果如下:

  • 以太坊:在所有检测到的注册文件中,仅有3%通过了全部有效性检查
  • BSC:有效比例为4%,略高于以太坊但同样极低
  • Base:15%的有效率是三条链中最高的,但仍然意味着85%的注册文件存在问题

这个数据揭示了一个根本性问题:ERC-8004的身份层几乎完全被无效或半无效的注册占据。这意味着其他Agent在查询”谁是可信的Agent”时,返回的结果中绝大多数是无法实际交互的僵尸身份。

造成低有效率的潜在原因包括:大量测试性部署从未完成配置、恶意行为者批量创建虚假身份用于Sybil攻击、以及协议缺乏对注册质量的任何约束机制——任何人都可以提交任意JSON文件作为身份声明,合约层面不做格式或内容验证。

实证发现二:声誉层的不可通约性与反馈污染

即使假设某个Agent成功通过了身份层的有效注册,其声誉数据同样存在严重缺陷。论文从两个维度揭示了声誉层的失效机制。

第一个问题是值的不可通约性。 ERC-8004的声誉系统允许提交者使用任意数值和文本描述来评价其他Agent。研究团队发现,不同提交者使用的评分尺度完全不同——有的使用1到5分制,有的使用0到100分制,还有的直接使用自然语言描述而没有量化指标。这意味着一个Agent的”综合声誉分数”在数学上是不可计算的:你无法将1-5分和0-100分的评分合并为一个有意义的平均值。

第二个问题是反馈基于不可验证的交互。 ERC-8004假设提交者确实与目标Agent进行过真实交互,但协议没有任何机制来验证这一点。一个Sybil攻击者可以凭空捏造大量虚假交互记录并提交评价——合约层面不检查交互日志、不验证通信证据、也不要求任何第三方证明。

论文进一步分析了去除已知Sybil标记后的反馈数据:在以太坊上,15.5%的Agent完全没有有效反馈;在BSC上这一比例飙升至72.3%;在Base上更是达到89.4%。这意味着绝大多数Agent的声誉系统实际上是一个空壳

实证发现三:Sybil攻击的系统性渗透

这是整篇论文最震撼的发现:ERC-8004的反Sybil机制几乎完全失效,Sybil攻击者控制了大部分评审活动。

研究团队首先通过链上行为分析识别出了协同Sybil账户集群——这些账户表现出高度一致的行为模式:相似的注册时间窗口、相同的IP地址范围、批量提交评价的时间序列相关性等。然后他们计算了每个链上Sybil账户占所有提交过评价的账户的比例。

结果如下:

  • 以太坊:73.6%的评价来自已识别的Sybil账户
  • BSC:59.2%的评价来自Sybil账户
  • Base:90.6%的评价来自Sybil账户——这是三条链中最高的比例,也是最令人担忧的数字

这些数字意味着ERC-8004声誉系统的核心输入——Agent评价——绝大部分是由恶意行为者控制的。一个诚实的Agent可能收到大量虚假好评来提升自己的”声誉分数”,而真正的低质量Agent可能被Sybil集群打压至零分。整个声誉系统不仅无法区分好坏,反而成为了操纵的工具。

三条链Sybil攻击比例对比

反方观点:协议是否只是太年轻了?

在得出如此严厉的结论之前,有必要考虑一个重要的反方观点:ERC-8004可能只是部署时间还不够长,当前的失效模式是早期采用者不足导致的网络效应问题,而非协议本身的根本缺陷。

这个论点有一定道理。任何去中心化协议都面临”鸡生蛋还是蛋生鸡”的困境:没有足够的用户就没有足够的数据,没有数据就无法建立信任,无法建立信任就吸引不了更多用户。ERC-8004目前可能正处于这个负反馈循环中——低注册率导致低活跃度,低活跃度导致低数据质量,低数据质量进一步抑制采用意愿。

此外,Sybil攻击比例高也可能部分归因于早期阶段缺乏成熟的反Sybil机制。随着协议成熟、社区治理工具完善、以及链上身份解决方案(如ENS、Gitcoin Passport等)的集成,Sybil攻击的比例可能会自然下降。

然而,这个反方观点存在一个关键漏洞:即使假设当前数据是网络效应不足导致的,ERC-8004在协议设计层面也存在无法通过”时间”来解决的根本缺陷。 声誉值的不可通约性是一个设计选择问题——无论有多少用户参与,如果评分尺度不统一,综合分数就永远不可计算。身份层缺乏格式验证也是一个架构决策——增加验证会增加部署成本,但减少验证则必然导致垃圾数据泛滥。这些是需要在协议层面修复的设计问题,而非等待网络效应自然解决。

对Agent基础设施设计的启示

从ERC-8004的实证失败中,可以提炼出几条对AI Agent信任基础设施设计具有普遍指导意义的原则。

第一,信任基础设施必须内置反垃圾机制。 ERC-8004的身份注册完全无约束,导致97%至85%的注册文件无效。任何面向公开网络的注册系统都需要至少一层轻量级验证——可以是小额gas费门槛、链上行为证明、或第三方身份绑定。零摩擦不等于好设计;零摩擦等于零筛选。

第二,量化指标必须标准化。 ERC-8004允许任意评分尺度导致声誉值不可通约的问题,本质上是一个协议规范缺失。信任系统的核心输出——综合评分——必须在协议层面定义统一的计算方法和数据格式。否则,每个实现者都会发明自己的”评分系统”,最终产生一堆无法互操作的噪声数据。

第三,反Sybil不能是事后补救。 ERC-8004的Sybil检测完全依赖研究团队的事后链上行为分析,协议本身没有任何内建的Sybil抵抗机制。这意味着在协议部署之初就应该集成身份证明(如Proof of Humanity)、人类验证、或基于历史行为的信誉评分等反Sybil原语。将安全作为事后补丁是成本最高且效果最差的策略。

第四,信任评估需要可验证的证据链。 ERC-8004的反馈系统允许凭空捏造交互记录,这是其声誉数据被系统性污染的根本原因之一。未来的Agent信任基础设施应该要求评价附带可验证的交互证据——例如智能合约执行日志、跨链消息确认、或零知识证明形式的交互证明。

未来雷达观察点

基于ERC-8004的实证发现,我们提出以下三个未来1至2个周期的观察方向:

观察点一:反Sybil原语的集成效果。 随着Gitcoin Passport、BrightID等链上身份解决方案的成熟,ERC-8004是否会集成这些工具来增强身份验证?如果集成后有效注册率和Sybil抵抗能力出现显著改善,将证明当前失效主要源于早期设计不足而非去中心化信任本身的不可行性。

观察点二:Agent经济规模的临界点。 当链上Agent数量达到某个阈值时,ERC-8004的声誉系统是否会从”数据噪声主导”自然过渡到”信号主导”?这个临界点是否存在?如果存在,它大约需要多少活跃Agent和交互记录才能触发?

观察点三:替代信任模型的竞争。 ERC-8004并非唯一的去中心化Agent信任方案。基于零知识证明的身份系统、基于博弈论的声誉机制、以及跨链互操作信任协议等替代方案正在涌现。未来1至2个周期内,哪种模型能够在实证数据上证明其有效性,将决定整个AI Agent经济生态的信任基础设施走向。

总结与行动清单

帝国理工学院的这篇论文揭示了去中心化Agent信任基础设施面临的一个根本性挑战:无许可信任与实际不可信之间的悖论。ERC-8004在身份层、声誉层和验证层的三重失效不是偶然的工程问题,而是协议设计层面的系统性缺陷。有效注册率3%至15%、Sybil攻击者占比60%至91%、以及去除Sybil后绝大多数Agent没有任何有效反馈——这些数据共同指向一个结论:当前的去中心化信任基础设施还不足以支撑规模化Agent经济生态的运转。

你现在可以做的:

  1. 如果你正在构建基于ERC-8004或类似协议的Agent系统,优先评估其身份验证和反Sybil机制的实际有效性,不要假设链上注册等于真实身份
  2. 在设计Agent声誉系统时,从协议层面定义统一的量化标准和计算规范,避免不同来源评价的不可通约性问题
  3. 关注Gitcoin Passport、BrightID等链上身份解决方案与AI Agent信任基础设施的集成进展——这可能是解决Sybil攻击问题的关键路径
  4. 在评估链上Agent的可信度时,不要仅依赖单一声誉分数;交叉验证多个数据源(身份注册有效性、交互日志、社区反馈)才能形成更可靠的判断

References


Related
Featured