现今的链上授权,仿佛你给予他人一把自己家大门的万用钥匙,然而你并不知道对方将于何时、运用这把钥匙确切去做些什么。伴随自动化程序以及智能代理的兴起,这般粗放的权限管理已然成为Web3安全与体验的最大隐患之一。
从一次性签名到持续授权
过往的区块链交互,每一回的操作,都得要用户亲自手动签名予以确认。这般的方式,虽说具备安全性,然而在那些需频繁进行操作的应用里头,就显得颇为笨拙。在DeFi挖矿、流动性提供等场景当中,用户常常得反复去授权同一个协议,来对自身的资产加以操作。
这种重复着进行签名的行为,不但对体验造成了影响,还使得用户的操作负担得以增加。更为关键的是,它没办法去适应自动化应用的需求。在AI Agent或者自动化脚本要代表用户去执行一些操作的时候,传统的那种一次性签名模式明显是行不通的。
传统授权模式的模糊边界
当下多数的 DApp 在进行请求授权之际,其用语常常是笼统又模糊的。你时常会见到诸如“允许本合约使用您的 USDT”这般的提示,然而具体所允许做出的行为是什么,又能做到何种程度,却并未有明晰的说明。这样的授权或许意味着合约能够进行无上限的转账操作,也有可能仅仅只是开展小额的交易活动。
更严重的在于,许多授权属于永久性,除非用户亲自手动去撤销。在2024年所出现的众多安全相关事件当中,攻击者所利用的正是这些长期具备有效性的授权。用户于几个月甚至是几年之前签署的授权,极有可能会成为资产被盗取的隐患所在。
ERC-8004的核心设计理念
ERC – 8004不是去创造全新的资产类别,而是在现有的资产以及账户体系之上,增添一层能够被系统理解还有验证的权限规则,它将授权从隐晦的签名行为,转变成能够明确描述、独立校验的管理对象。
标准的核心,是构建一套机器能够解读的权限说明书的东西。如同现实世界里的授权委托书那般,要明确地写清楚委托人,以及受托人,还有授权事项,以及授权期限,以及权限范围,ERC-8004使得链上授权也拥有同样的清晰性以及可约束性。
权限的精细化控制
处于ERC – 8004框架范围以内,授权能够达成以前所未有的精细化程度。比如说,你是能够授权某一个AI Agent去使用你的USDC的,然而却要对其进行限制,即它仅仅能够被用于支付特定种类的服务,并且单笔支付额度不能超出100美元,每日支付总额不能超出500美元。
这种控制,还能够涵盖时间维度,你能够设置授权,仅在特定时间段才生效,或者去设定授权,在完成特定次数的操作以后,便自动失效,对于自动化策略合约,你能够授权它,在预设参数范围以内执行交易,超出范围的操作,就不被许可。
AI Agent与自动化场景应用
AI Agent的发展致使权限管理变得愈发紧迫性十足,若一个Agent被赋予完全控制权,那它就如同用户自身,任何决策上的失误或者恶意行径都会径直造成资产流逝,要是没有清晰明确的权限界限,那所说的智能代理仅仅是风险更高的自动化程序。
借着ERC – 8004,用户能够给Agent设定明晰的行为界限,像,一个作研究用的Agent能够被给授权去读取特定的数据,然而不可以去做转账;一个用于支付的Agent能够去执行小额的交易,不过不可以参与高风险的DeFi操作。这些规则在执行以前就能够被系统来验证。
未来影响与现实挑战
ERC – 8004的实际价值并非在于当下处理了多少问题,而是在于其为未来的繁杂协作给予了底层支撑。伴随机构用户以及传统金融应用迈入Web3领域,针对权限管理的诉求会愈发迫切。合规审计、风险管控以及操作追溯均需要明晰的权限记录。
可是,这项标准同样遭遇用户体验方面的难题。怎样把繁杂的权限规则转变为由普通用户可以领会的界面,这是判定其能不能得到普及的重点。与此同时,生态系统的支撑也极为关键,这需要钱包、DApp以及基础设施提供商一同参与。
你认为于自动化运用愈发普遍的现今,用户该以怎样的方式在便利跟安全之间寻觅到平衡呢?欢迎于评论区说出你的见解,要是觉得本篇文章有实用价值,请点赞予以支持!
© 版权声明
文章版权归作者所有,未经允许请勿转载。
