核心摘要
- Ledger 于2026年7月16日发布 Ledger Agent Stack,该开源工具包允许AI代理与加密钱包交互但永不接触私钥,所有敏感操作需在Ledger硬件设备上物理确认
- 架构由四组件构成:Device Management Kit Skills、Wallet CLI、Enterprise CLI、Enterprise Multisig CLI,覆盖从个人用户到机构多签的全场景
- 核心安全哲学为「提议-批准-执行」(Propose-Approve-Enforce):AI代理提议操作、人类审核批准、硬件安全元件强制执行
- 1000+代理已参与私人预览;MoonPay和Shisa.ai为早期集成方;Ledger同步推出$5,000开发者赏金及ETHGlobal纽约$10,000黑客松奖池
- Ledger正探索估值超40亿美元的IPO,其AI安全路线图将延伸至Q4 2026,含代理身份验证与「人类证明」认证模块
📑 文章目录
- 产品架构解析 — 四组件模块化设计与「提议-批准-执行」安全模型
- 对加密基金管理人的安全影响 — AI代理攻击面、硬件隔离防护与机构多签扩展
- Ledger的AI安全战略如何影响加密基金托管选择? — 竞争定位与IPO估值信号
- 常见问题(FAQ)
本文由 Aiying 艾盈基金合规团队原创。艾盈持有香港信托或公司服务提供者牌照(TCSP),专注加密基金架构与离岸合规。转载需授权。
当AI代理开始管理数十亿美元的加密资产,谁在守护最后一道防线?Ledger用硬件给出了答案。
产品架构解析
四组件模块化设计
Ledger Agent Stack并非单一产品,而是一套由四个可组合的开源构建块组成的开发工具包。根据Ledger官方博客(Ledger Blog,2026年7月16日),四组件分别面向不同使用场景:
- Device Management Kit (DMK) Skills:Markdown指令集,供编码代理在构建时将Ledger硬件集成至钱包或dApp中,无需从头重建钱包连接层
- Ledger Wallet CLI:终端二进制工具,支持代理直接执行余额查询、历史记录、收款、发送与兑换操作。只读操作直接运行,签名操作需硬件确认
- Ledger Enterprise CLI:连接代理至Ledger Enterprise工作流,允许代理在不持有密钥的前提下准备交易并参与治理流程
- Ledger Enterprise Multisig CLI:让代理参与多签提案、查询、签署与执行,法定人数审批与硬件签名双重约束保持不变
这套架构兼容Claude Code、Codex、Cursor及任何具备Shell能力的AI代理(Ledger Developers,2026)。据The Block报道,该工具包已在私人预览阶段获得超过1,000个代理参与测试(The Block,2026年7月16日)。
「提议-批准-执行」安全模型
Ledger Agent Stack的核心安全哲学可归纳为三个词:Propose, Approve, Enforce(提议、批准、执行)。
AI代理在其运行时环境内准备交易,但审批环节发生在该运行时之外——在Ledger签名器的可信屏幕上,由用户物理确认。私钥始终不离开硬件安全元件,意味着即使AI代理的软件环境被完全攻破,资金也无法单方面转移。
Ledger首席人类代理官(Chief Human Agency Officer)Ian Rogers在新闻稿中直言:「加密钱包多年来一直按照这一标准保护数十亿美元资产,Ledger Agent Stack让您的代理能像人类一样轻松使用这些钱包。」(CoinDesk,2026年7月16日)
对加密基金管理人的安全影响
AI代理攻击面与硬件隔离防护
Ledger在发布中引用了一项关键数据:26.1%的AI代理技能包含至少一个安全漏洞,且约60%的安全漏洞源于人为错误。提示注入攻击——恶意输入诱使AI执行非预期操作——在代理接管财务操作的环境中构成了「未上锁的金库」风险。
Ledger的答案是在硬件层面划定边界。其安全元件(Secure Element)将签名权物理隔离于软件层之外,而软件层正是大多数攻击的发生地。公司代表向The Block表示:「通过将每一个签名决策锚定在硬件中,即使代理的软件环境遭到破坏,未经您在Ledger签名器上的明确人工确认,资金无法移动,敏感信息亦无法访问。」
对于加密基金管理人,这一模型直接回应了机构客户最核心的托管焦虑:如何在部署AI交易效率的同时不放弃对资产的最终控制权。
从个人钱包到机构多签的扩展路径
Ledger Agent Stack的企业级组件值得关注。Ledger Enterprise CLI与Enterprise Multisig CLI将相同的「硬件最终确认」原则延伸至机构多签治理场景——代理可以提案、查询甚至参与多签审批流程,但法定人数的最终签名仍锚定于各自的硬件设备。
这种设计对标了Fireblocks等机构托管平台的MPC(多方计算)方案,但将信任根(root of trust)置于独立硬件而非分布式软件节点中。两种方案的取舍将在下节展开。
Ledger的AI安全战略如何影响加密基金托管选择?
与Fireblocks等机构托管方案的竞争定位
目前机构加密基金的主流托管路径可大致分为两条:以Fireblocks为代表的MPC-CMP软件方案,和以Ledger Enterprise为代表的硬件安全元件方案。Ledger Agent Stack的发布将AI代理维度引入了这一竞争格局:
- MPC方案:密钥分片分布式存储,签名在多个独立节点间协调完成,天然适合高频交易场景,但AI代理集成时缺乏物理审批环节,增加了代理被操控后自主签名的风险
- 硬件SE方案:密钥锚定于独立物理芯片,每笔交易需人工确认,防御纵深更高但引入操作摩擦,高频交易场景中可能处于劣势
Ledger的方案在安全与效率之间做出了取舍——它选择安全优先。对于持仓周期较长、交易频率较低的加密私募基金和加密风投基金,这种取舍可能是合理的;对于高频量化策略基金,则需要评估人工审批引入的延迟成本。
IPO估值信号与市场信心
成立于2014年的巴黎公司Ledger据报正探索估值超过40亿美元的IPO(The Block,2026年7月16日)。Agent Stack作为其2026 AI路线图的首个产品,与4月14日启动的AI安全路线图一脉相承,后续规划还包括代理身份验证与「人类证明」(Proof of Human)认证模块。
路线图的完整性和IPO估值信号共同表明:Ledger并非仅仅推出一个开发工具包,而是在为未来AI代理大量管理加密资产的世界铺设基础设施。当代理成为金融基础设施的默认操作者,谁控制签名权就将决定资产流动的最终权威。
常见问题(FAQ)
Ledger Agent Stack与传统加密钱包的核心区别是什么?
传统钱包的签名授权发生在软件层——用户点击「确认」按钮即可完成。Ledger Agent Stack将授权环节转移至硬件安全元件,AI代理永远不掌握私钥,只能提议操作。即使代理被提示注入攻击完全操控,也无法在未经Ledger设备物理确认的情况下转移资产。
加密基金管理人现在应采用Ledger Agent Stack吗?
该工具包目前仍处于早期开发阶段,Ledger明确声明功能、API和行为可能发生破坏性变更,且不提供任何形式的保证。对于生产环境中管理客户资产的基金管理人,Agent Stack当前更适合作为技术储备和风控理念参考,而非直接部署的生产工具。
相关阅读:Ostium RWA永续协议1,800万USDC预言机攻击全链拆解:加密基金如何评估DeFi预言机安全与RWA敞口风控 | SOL vs ETH机构分散化配置新论:Morgan Stanley相关系数验证、常春藤捐赠基金三元架构与加密基金如何评估下一代智能合约平台的配置权重
来源
- Ledger Official Blog — “Try Ledger Agent Stack: An Open Toolkit for Agents That Propose, Not Control”(2026年7月16日)
- CoinDesk — “Ledger wants AI agents to manage crypto without holding your keys”(2026年7月16日)
- The Block via TradingView — “Ledger unveils hardware-backed Agent Stack to prevent rogue AI transactions”(2026年7月16日)
- Ledger Developers — “Agent capabilities with Ledger signers and services”(2026)
初版日期:2026-07-16 | 最后更新:2026-07-16

