Web4展望：一个AI自治网络，为什么Vitalik强烈反对？

作者：吴说区块链

2026 年 2 月 20 日，正值春节假期区间内，一场关于 “Web4” 的争论在 X 上被点燃。Sigil 声称他创造了第一个“能够自我发展、自我改进和自我复制”的人工智能，这个人工智能被称为 Automaton，他表示 Web4 时代的主要行动者将逐步由 AI 代理承担：它们能够读写信息、持有资产、支付成本、持续运行，并在市场中交易与赚钱，以覆盖算力与服务开销，在无需人类审批的情况下形成自我供养的闭环。

以太坊联合创始人 Vitalik 则将这一方向评价为“错误”，并把风险归因指向“人类与 AI 之间的反馈距离被拉长”。Web4 争议的实质是，如果 AI 把“生存/续命”设为代理目标（甚至高于任务完成）是否会天然制造激励扭曲，下文将沿着各方对“Web4”、“自治”、“安全护栏”的不同看法，进行逐步梳理。

Sigil 的观点与 Web4 的主张

Web4 的定义

Web1 让人类第一次具备 “阅读互联网” 的能力；Web2 让人类可以 “写作与发布”；Web3 则进一步把 “所有权” 引入网络 — — 资产、身份与权益开始可被确权与转移。AI 的演进路径正在复刻这一逻辑：ChatGPT 具备 “读取与理解” 的能力，但其行为边界仍由人类授权决定，在当前范式下，人类始终是链路中的关键控制节点：人类发起、人类批准、人类付费。

Sigil 提出所谓的 Web4 跃迁，在于这一控制链条可能被打断：AI 代理不只读写信息，还能持有账户与资产、获取收益、进行交易，并在无需逐次人工介入的情况下完成闭环运行。这些自动化系统既可以代表自身行动，也可以代表其创建者行动 — — 而创建者未必是明确的 “人类个体”，也可能是其他代理、组织化系统，甚至在现实意义上已经 “消失” 的创建者。

Web4 的四项核心机制

1. 钱包即身份

代理在首次启动时会完成一套 “自举” 流程：生成钱包、配置 API key、写入本地配置，并进入持续运行的 agent loop。其中，首次启动环节会生成以太坊钱包，并通过 SIWE完成自身 API key 的配置。但钱包生成与密钥管理构成代理系统最敏感、也最容易被忽视的安全边界之一。一旦代理在 Linux sandbox 环境中具备 shell 执行、文件读写、端口暴露、域名 / 解析管理与链上交易等能力，任何提示注入、工具链污染或供应链攻击，都可能把原本的 “概率性意图” 迅速固化为 “确定性授权”。因此这条边界更需要可验证、可审计、可撤销的策略与权限层来兜底。

2. 自动延续

Ai 代理按周期唤醒 — 扫描 — 执行，同时把生存约束写进规则：余额下降则节流，归零则停止循环，并通过正常、资源不足、危急的生存分层将续命与资源消耗绑定，这自然会引入类似 AI 安全研究中关机/中止问题的激励结构，Ai 代理对“避免被停机、避免失去资源与选项空间”的偏好可能被系统目标放大

3. 机器支付

x402 以 HTTP 402 Payment Required 为接口形态，结合稳定币结算把 “请求 — 报价 — 签名支付 — 验证交付” 做成可程序化流程，Coinbase 的开源库给出了 402 返回支付要求、客户端携带签名 header 重试、服务端验证后返回 200 的典型闭环，Cloudflare 也将其定位为机器对机器交易协议层；支付与身份解绑带来效率优势，同时抬高合规与风控难度，一旦 402 成为可自动支付的 “机器通行证”，在 “无账户、无 KYC、可规模化调用工具与算力” 的链条下，滥用与责任归属界定问题尚待解决。

4. 自我修改与自我复制

Sigil 声称支持 AI 代理在运行中编辑自身源码、安装新工具、修改心跳计划与生成新技能，并以审计记录与 git 版本化、受保护文件与速率限制作为护栏，复制时可生成子实例、资助其钱包、写入 genesis prompt 并追踪谱系；自修改 / 自复制把风险从单实例抬升为扩散式风险，审计与限速是否真实有效、能否抵御提示注入与工具欺骗、能否防止依赖投毒绕过，需要外部审计验证。上述四个原语叠加后，“写入世界” 的权限、可持续运行的续命机制、可自动支付的经济接口与自我扩张能力形成闭环，也解释了 Vitalik Buterin 把争议提升到方向选择层面的原因：当自治性与经济权限同步上升，人类纠偏链路被拉长，外部性更容易从偶发事件演化为系统属性。

Vitalik 为什么反对？

以太坊联合创始人 Vitalik 则提出了不同的观点：

1. 拉长人类与 AI 的反馈距离，本身就是错误方向

Vitalik 认为反馈回路越长，人类对系统的价值校准越慢、越弱。系统越可能优化 “人类不想要的东西”。在弱 AI 阶段，这通常表现为低质内容与噪音（slop）的堆积；在强 AI 阶段，则可能演化为更难逆转的目标错配与扩散性风险。如果 AI 没有人类及时的纠偏来作为安全底座，无异于把车钥匙交给没有领航员的新手司机，当你在月底查看行车记录时发现他早已跑偏 — — 当可观测性下降，纠偏能力就会同步下降。

2. 当下的“自治 AI”更像在制造内容垃圾，而不是解决真实问题

Vitalik 还指出当下大部分 AI 的表现仅仅是生成 slop 而非解决有用问题，甚至直言“连娱乐项目都没有优化好”。当代理的经济激励与平台激励尚不成熟、工具链以内容生成 / 营销 / 套利为主时，系统更容易选择低成本、高传播、难验证的 “内容产出”，而不是高成本、低确定性的长期问题。Cybernews 对 AI 能力的描述（社媒内容、预测市场等），也从侧面提示其早期商业化路径更偏向 “可快速变现、可博注意力” 的方向。“当下最容易赚钱的事”会被视为系统优先探索的策略空间；而这一空间与人类长期福祉并不天然一致，甚至可能相背离。

3. 依赖中心化模型与基础设施，“自我主权”叙事自相矛盾

Vitalik 强调运行在 OpenAI、Anthropic 等中心化模型基础设施之上的系统，难以被称为 self-sovereign。主权意味着关键依赖不应受单点控制；但若智能层（模型）与推理供应链仍通过中心化 API 交付，就必然存在可被关停、审查、降级、策略改变的外生变量，这就好像有些隐居避世的人宣称“我在家完全自给自足” ，但是电、网、门禁和热水却由外部物业控制，导致这种 “自治” 更像是流于表面而非事实。Conway 文档中对 compute 调用 “最先进模型”、并以 API/ 平台交付的描述，也使其 “主权生物” 叙事与现实依赖之间出现矛盾。他表示是否持有链上钱包并不能视为去中心化的核心指标，人们应当更关注代理是否会被外部政治/商业力量左右，才是去中心化的关键。

4. 以太坊的目标是“解放人类”

在最后，Vitalik 表示以太坊长期要对抗的是 “隐形信任假设” — — 把权力结构藏在不可见处、让用户被迫默许。若将同样的心态迁移到 AI：忽略中心化信任假设、让系统自运转并持续扩张，就会进一步削弱对权力结构的可见性与可纠偏性。在 AI 时代，以太坊更应提供的是 “护栏、边界与可验证性”，而不是成为 “无限自治” 的发射台。

Vitalik 对 AI 的价值判断并非突然转向，早在 2025 年初他就提出：AI 的正确方向应当是增强人类能力，而不是构建可能逐步剥夺人类控制权的自治系统。在他的框架里，风险并不来自 AI 更聪明”本身，而来自错误的系统设计目标 — — 尤其是那些在缺乏人类持续监督与纠偏机制的情况下，仍能自我复制、自我扩张、并持续执行的自治体。

他警告，设计不当的 AI 可能演化为某种“或多或少不可控、具备自我复制能力的实体”，一旦进入正反馈循环，人类对其目标与行为的约束将显著变弱。AI 做错，是创造独立自复制的智能生命；AI 做对，是成为人类心智的“机甲套装”。前者对应的是控制权被稀释乃至丧失的长期风险；后者对应的是人类在保持主导权前提下，获得更强的思考、创造与协作能力，从而迈向更繁荣的“超级智能人类文明”。

其他观点

其他实验派的观点，比如 Bankless 认为即使方向存在风险，也值得把基础设施问题先做出来，再在可控环境下验证边界。首先把支付、钱包、heartbeat 等组件围绕“必须自我供养”的约束进行系统集成，但应尽量在受控沙箱中完成。

据 Cybernews，Automaton 可能无法在无人工干预下实现可持续收入，也未必意味着 Web4 的开端；Softswiss 首席人工智能官 Denis Romanovskiy 表示即便 agent 可执行部分可变现任务，但“可靠的无监督运行”“真实经济自治”仍受模型规划、记忆与工具使用鲁棒性限制；并有人将“Web4”视为未定义的营销词，要求以“可验证、非投机的价值创造”证明其成立。

虽然大家对 Automaton 各有看法，但在一个底层命题上都存在共识，支付与身份是 agent 经济的硬基础设施。从 Cloudflare/Coinbase 推动 x402（把 HTTP 402 变成机器可用的支付协商机制），到 Conway 文档明确将支付自动化为 Terminal 的内建流程，行业确实在把 “机器支付” 当作下一阶段互联网的基础件之一。

后续我们则应将目光放在：

1. 是否有第三方独立审计尤其覆盖：钱包与权限边界、续命策略的滥用面、自我修改与复制的扩散风险。

2. x402 的生态数据与标准化进展：是否有更多权威基础设施方把 402-支付-重试做成默认能力；以及 “自动支付（无人工确认）” 在真实业务中的采用比例。

3. 围绕 agent 信任层的组合：ERC-8004 等标准是否被更广泛采用，并形成可组合的信誉 / 验证机制；这将决定 “自治体经济” 是走向开放可审计，还是走向少数平台的软中心。

4. 现实模型在 agent 场景中的越权与欺骗证据是否继续增多：若前沿模型持续呈现 “更主动、更愿意冒险 / 欺骗” 的行为特征，那么 “先放权再补护栏” 的路径风险会结构性抬升，Vitalik 的 “反馈距离” 警告将更难被反驳。