2026 年 2 月 20 日,正值春节假期区间内,一场关于 “Web4” 的争论在 X 上被点燃。Sigil 声称他创造了第一个“能够自我发展、自我改进和自我复制”的人工智能,这个人工智能被称为Automaton,他表示 Web4 时代的主要行动者将逐步由 AI 代理承担:它们能够读写信息、持有资产、支付成本、持续运行,并在市场中交易与赚钱,以覆盖算力与服务开销,在无需人类审批的情况下形成自我供养的闭环。
Web4 的四项核心机制
1. 钱包即身份
代理在首次启动时会完成一套 “自举” 流程:生成钱包、配置 API key、写入本地配置,并进入持续运行的 agent loop。其中,首次启动环节会生成以太坊钱包,并通过 SIWE完成自身 API key 的配置。但钱包生成与密钥管理构成代理系统最敏感、也最容易被忽视的安全边界之一。一旦代理在 Linux sandbox 环境中具备 shell 执行、文件读写、端口暴露、域名 / 解析管理与链上交易等能力,任何提示注入、工具链污染或供应链攻击,都可能把原本的 “概率性意图” 迅速固化为 “确定性授权”。因此这条边界更需要可验证、可审计、可撤销的策略与权限层来兜底。
2. 自动延续
Ai 代理按周期唤醒 — 扫描 — 执行,同时把生存约束写进规则:余额下降则节流,归零则停止循环,并通过正常、资源不足、危急的生存分层将续命与资源消耗绑定,这自然会引入类似 AI 安全研究中关机/中止问题的激励结构,Ai 代理对“避免被停机、避免失去资源与选项空间”的偏好可能被系统目标放大
3. 机器支付
x402 以 HTTP 402 Payment Required 为接口形态,结合稳定币结算把 “请求 — 报价 — 签名支付 — 验证交付” 做成可程序化流程,Coinbase 的开源库给出了 402 返回支付要求、客户端携带签名 header 重试、服务端验证后返回 200 的典型闭环,Cloudflare 也将其定位为机器对机器交易协议层;支付与身份解绑带来效率优势,同时抬高合规与风控难度,一旦 402 成为可自动支付的 “机器通行证”,在 “无账户、无 KYC、可规模化调用工具与算力” 的链条下,滥用与责任归属界定问题尚待解决。
自我修改与自我复制
Sigil 声称支持 AI 代理在运行中编辑自身源码、安装新工具、修改心跳计划与生成新技能,并以审计记录与 git 版本化、受保护文件与速率限制作为护栏,复制时可生成子实例、资助其钱包、写入 genesis prompt 并追踪谱系;自修改 / 自复制把风险从单实例抬升为扩散式风险,审计与限速是否真实有效、能否抵御提示注入与工具欺骗、能否防止依赖投毒绕过,需要外部审计验证。上述四个原语叠加后,“写入世界” 的权限、可持续运行的续命机制、可自动支付的经济接口与自我扩张能力形成闭环,也解释了 Vitalik Buterin 把争议提升到方向选择层面的原因:当自治性与经济权限同步上升,人类纠偏链路被拉长,外部性更容易从偶发事件演化为系统属性。