主体性の力：「Agentic Wallet」とウォレットの次の10年

原題：「人間の有用性：」「Agentic Walletとウォレットの次の10年」

出典：Bitgetウォレット

1984年、アップル（マッキントッシュ）はマウスによってコマンドラインを廃した。2026年、エージェントがネズミを殺している。

これは比喩ではありません。Google、Amazon、NVIDIA、Visa、Microsoft、Alibabaといった企業は、グラフィカルインターフェースの改良に数十億ドルを投じてきたにもかかわらず、GUIを積極的に回避し、CLI、API、およびエージェントのネイティブインターフェースへと移行しつつある。その理屈は単純だ。現在の0対1の成長は人間に依存しているが、今後10倍に増えるユーザー層は、もはや画面を見なくなっているだろう。

しかし、誰もが避けているのは、ソフトウェアのユーザーが人間からエージェントへと移行する際、人間は依然としてその場に居続ける必要があるのか、という点だ。

早くも1950年、サイバネティクスの創始者であるウィーナー（ノーバート・ウィーナー）は次のような警告を発していた。人間が観察し介入する能力を失った瞬間、フィードバックループは断絶し、システムは制御不能に陥るだろう、と。OpenAIが今日「ハーネス・エンジニアリング」として強調しているものは、根本的にはこの考え方の延長線上にある。

70年以上が経過した今、Agentic Walletはこの問題の暗号化版に直面している。確認ポップアップ、署名リクエスト、承認プロセス、ニーモニックフレーズのバックアップ、多要素認証……この10年間に暗号資産ウォレットが構築してきたセキュリティ機能は、すべてある一つの問いに答えることを目的としています：「この取引は、本当にあなたによって承認されたものですか？」エージェントの存在により、この人間との連携メカニズムが機能不全に陥りつつある。取引のたびに手動での確認を求め続ける限り、エージェントは継続的かつリアルタイムな自動実行を実現できない。一方で、無制限の秘密鍵の管理権限をエージェントに直接委ねることは、人間にとって容認できないリスクを伴うことになる。

答えは、両極端のどちらにもない。完全な自律性はエージェント時代の最も魅力的な物語だが、ウィーナーの警告は今もなお真実である。

私たちは、Agentic Walletが2種類の主体に対して同時に機能しなければならないと考えています。一方で、人間に対してルール設定、リスク管理、ガバナンス介入の機能を提供し、他方でエージェントに対して制約付きの執行権限を提供することで、エージェントが明確な境界内で自律的にオンチェーン操作を実行できるようにするものです。つまり、ウォレットは、人間が使用する資産の保管場所や署名ツールという役割から、人間が境界を設定し、エージェントがその境界内で行動できるようにするシステムへと進化する必要がある。

このシステムはどのようなものになるべきでしょうか？まさにその疑問に答えることが、この記事の目的です。

1.「ファット・ウォレット」を超えて、新たなウォレット戦争

デルファイ・デジタルはかつて、「ファット・ウォレット・テーゼ」の中で力強い主張を展開した：プロトコルやアプリケーション層がますます画一化されるにつれ、価値はウォレット層に定着していくことになるだろう。ウォレットはユーザーに最も近く、流通経路と注文の流れを管理しています。ユーザーは、使い慣れたインターフェース、資産の定着性、および移行の障壁といった要因により、長期にわたってそのウォレットを使い続けることになるでしょう。

しかし、エージェントは同じ論理に従わない。「容赦ない」機械的な実行者として、エージェントは、人間のようにインターフェースへの慣れやブランドの好み、使用習慣といった理由で特定のウォレットに留まることはありません。今後も、コストが最も低く、遅延が最小限で、実行が最も安定したインフラの組み合わせを追求していきます。ERC-8004のような規格が徐々に普及するにつれ、エージェントの身元および評判に関するレイヤーも、異なるシステム間で移行される可能性が出てきます。つまり、このウォレットがエージェントに対して及ぼすロック効果は、人間に対して及ぼすロック効果よりも本質的に弱いということだ。

とはいえ、これはウォレットの価値がなくなるという意味ではなく、価値の決済が行われる場所が変わるということである。単純な個人利用のケースでは、エージェントはインターフェース、利用習慣、およびアクセス経路に基づいて、ウォレットの防御機能を弱体化させる。比較的複雑な組織展開シナリオにおいて、企業が「エージェント・フリート」全体を対象にポリシールール、承認プロセス、リスクパラメータ、および監査システムを設定すると、移行コストはフロントエンドの体験から生じるものではなく、権限、ガバナンス、および運用設定のすべてを再構築することから生じるようになる。

したがって、Agentic Walletは、Fat Walletを超える新たな提案に取り組んでいます：Fat Walletがユーザーのアクセス経路を巡って競争している一方で、Agentic Walletは、ソフトウェアが資金を直接管理する場合の制御権を巡って競争している。

財布の変遷を振り返ってみると、製品形態の変化は、その都度、ユーザーの信頼対象の変化と根本的に対応していることがわかる。

・ニーモニックフレーズウォレットでは、ユーザーは自分自身を信頼する必要があります。

・スマートコントラクト対応のウォレットでは、ユーザーがコードを信頼する必要があります。

・組み込み型ウォレットでは、ユーザーはサービスプロバイダーを信頼する必要があります。

また、Agentic Walletにおいて、ユーザーが信頼すべきなのは、権限、ポリシー、ガバナンスの仕組みから構成される制御システムです。

このシステムの目的は、ソフトウェアに資金の管理を委ねることではなく、限られた権限の範囲内でソフトウェアに動作させつつ、人間が最終的な管理権限を保持できるようにすることにあります。こうした理由から、Agentic Walletの核心は、単に「エージェントがウォレットを利用できるようにすること」ではなく、「エージェントが、制約可能、監査可能、かつ介入可能な条件下で、人間のユーザーが所有する資金を管理できるようにすること」にある。

II.ウォレットの境界、エージェントの起点

既存のウォレットは、当初想定されていたシナリオにおいては依然として問題なく機能していますが、問題は、エージェント主導のユースケースがますます増え、現在のウォレットの設計上の限界を超えつつある点にあります。

シナリオ1：取引担当者は迅速に行動する必要がありますが、「実行する能力がある」ことと「実行が許可されている」ことは同じではありません

ポートフォリオ・エージェントは、24時間体制でクロスチェーンの流動性を監視しています。機会が訪れた際には、数秒以内に取引を完了させる必要があります。従来のウォレットの操作手順は、ユーザーがアプリを開き、取引内容を確認し、確認ボタンをクリックするというものです。このプロセスが完了する頃には、好機はすでに失われていることが少なくない。

厳密に言えば、エージェントにはすでにスワップ関数を呼び出し、コールデータを生成し、資金をブリッジする機能があります。しかし、能力があるからといって、それが許可を意味するわけではない。エージェントが取引を開始できるからといって、資金を自由に処分できるとは限らない。

Agentic Walletの役割は、この2つを分離することです：エージェントは即座にアクションを起こすことができますが、その行動はあらかじめ設定されたルール内に限定されます。具体的には、承認済みの資産に限定される、1日の予算制限が適用される、スリッページの上限・下限に制約される、市場状況が異常な場合には自動的に一時停止される、といったルールです。スキルはエージェントが「何ができるか」を定義する一方で、ウォレットはエージェントが「何をしてよいか」を制限する役割を担う。

シナリオ2：決済代行業者は資金を支出する必要がありますが、すべての資金を完全に管理できるべきではありません

決済エージェントは、APIの利用料金、SaaSのサブスクリプション料金、およびベンダーへの支払いを自動的に決済する役割を担っています。現在のウォレットシステムでは、通常、2つの選択肢しかありません。それは、支払いごとに手動での承認を待つか、無制限の署名権限を持つ秘密鍵を保持するか、のいずれかです。前者は拡張性がなく、後者はリスクが高すぎる。

Agentic Walletは、制限付きの権限を提供します：ホワイトリストに登録された加盟店への支払いのみが可能で、指定された資産を使用し、1日の予算内で支払いを実行でき、すべての支出は完全に記録されます。

シナリオ3：複数のエージェントが、共有予算の下で個別の権限を必要とする

1つのエンティティが複数のエージェントを同時に実行できる。例えば、トランザクション用、決済用、レビュー用などである。現在のウォレットでは確かに複数のサブアカウントを作成できますが、これらのアカウントの権限を一元的に管理し、全体的な予算上限を設定し、エージェント間のポリシー制約を適用し、統一された監査証跡を作成することは、既存のウォレットのネイティブ機能ではありません。

しかし、Agentic Walletモデルでは、これは優先度の高い設計上の課題として扱われることになる。各エージェントには独立した、明確に定義された権限が与えられている一方で、統一されたポリシー層が、全体的なリスクの露出、エージェント間の取引頻度制限、共有予算の管理、および一貫性のある監査記録の生成を担当する。

これらのシナリオはいずれも、同じ結論を導き出しています。すなわち、秘密鍵の管理は依然としてウォレットのセキュリティの基盤であり、エージェントが秘密鍵に直接アクセスできるようにすることは、いかなる状況においても容認できないリスクであるということです。しかし、秘密鍵を管理するだけでは不十分です。

オペレーターが人間からエージェントへと移行する際、ウォレットは次の点についても対応する必要があります。すなわち、誰が、どのような条件下で、どの程度の範囲で、どの資産に対して、どの対象に対して行動を許されるのか、ということです。秘密鍵の管理は第一の防衛線であり、エージェント時代において追加された第二のファイアウォールが、非人間オペレーターの権限に対する境界管理である。

III.限定された自律性：Agenticウォレットの設計理念

業界では、エージェント型ウォレットはまだ初期の検討段階にあり、現時点では成熟したエージェント型ウォレットのソリューションは存在しない。しかし、序文で述べたように、本記事で構想する「エージェント型ウォレット」は、人間のガバナンスとエージェントの実行を結びつける資金管理システムである。すなわち、人間は境界の設定を担当し、エージェントはその境界内での行動を担当し、ウォレットはこの一連の制約関係が常に実行可能、監査可能、かつ介入可能な状態であることを保証する役割を担う。

同時に、エージェントに付与された権限のレベルに応じて、Agenticウォレットは以下の4つのシナリオそれぞれに対応することも可能です：

人間による操作：エージェントが提案や支援を行いますが、各操作については依然として人間の確認が必要です。改善点はインタラクションの効率化にあり、資金管理ロジックは変更されていません。

ハイブリッド：エージェントは、情報の取得、見積書の作成、リマインダー、低リスクな実行といった日常業務を処理します。これにより、人的介入の頻度は減少しますが、資金移動、契約の呼び出し、異常な分岐など、例外的なケースについては依然として人間の承認が必要となります。

限定された自律性：エージェントは、明示的なルール、制限、および拒否経路の範囲内で自律的に動作します。人間は、取引ごとの承認者からルール策定者へと役割を移行する。この記事で取り上げる「Agentic Wallet」は、主にこのタイプを指します。

完全な自律性：エージェントはほぼ完全な経済的主権を有しており、あらかじめ定められた制約なしに、自律的に資金の配分を行い、結果を受け入れることができる。このモデルは理論的には妥当であるが、セキュリティ、ガバナンス、責任、コンプライアンスの面ではまだ未成熟であり、現在は主に実験段階にある。

参考までに、Stripeは2025年の年次レターにおいて、エージェント型コマースを5つのレベルに分類しています：L1を「フォーム入力（Webフォームの排除）」、L2を「記述的検索」、L3を「持続性」、L4を「委任」、L5を「予測」と定義する一方で、業界全体としては依然として「L1とL2の境界線上に留まっている」と明確に述べている。

この観点から言えば、現在の市場における最大の需要は、人間が制御するシナリオやハイブリッドなシナリオから生まれる可能性が高く、限定的な自律性が真のフロンティアであり、エージェントが実際に資金運用を開始する最初の商用レベルの実装形態となるだろう。

このコンセプトを実装するには、4層アーキテクチャが必要となります：

・アカウント層：EOA、スマートコントラクトアカウント、サーバーウォレット、またはTEE環境などを通じて、各エージェントごとに独立した隔離された経済コンテナを確立する。システムは、エージェントごとに異なるルールを適用する必要があります。

・権限レイヤー：エージェントの動作範囲を定義すること。これには、使用可能上限、操作可能な資産、対話可能な契約、実行可能な時間枠、および境界越え後のアクションロジックなどが含まれる。これがアーキテクチャ全体の基幹となる層です。

・実行層：人間のクリック操作よりも、エージェントのインターフェースを重視しています。送信、支払い、交換、ブリッジング、リバランス、清算、決済はすべて、プログラムから直接呼び出せるプリミティブとして抽象化する必要がある。

・ガバナンス層：ログ記録、シミュレーション、監査証跡、アラート、一時停止スイッチ、手動による上書き、復旧機能などを提供する必要があります。このレイヤーによって、Agentic Walletが実際に本番環境へ移行できるかどうかが決まります。

4層アーキテクチャに加え、システムの運用を支えるためには、以下の4つの主要な機能も必要です：

スキル：標準化されたオンチェーン操作モジュールを提供します。エージェントは、基盤となるcalldataを手動で組み立てる必要なく、トランザクション、支払い、ブリッジング、および関数の呼び出しなどの操作を実行できます。スキルは、「何ができるか」という能力の抽象化の問題に対処するものです。

ポリシー + KYA / KYT：ポリシーエンジンは、各操作に対するルールの検証を担当し、人間が定義した境界を機械が実行可能な制約に変換します。また、KYA/KYTメカニズムは、エージェントの発信元、身元、リスク状況、および操作履歴を特定するために使用されます。前者は行動を制限し、後者は操作者を特定することで、ファンドのあらゆる行動が常に予め設定された範囲内に留まることを保証する。

セッションキー：期間、数量、および範囲が限定された安全な委任メカニズムを提供します。エージェントには、完全な秘密鍵ではなく、一時的かつ限定的な権限が付与されます。この承認は自動的に失効し、無効化には手動による取り消しは不要であるため、エージェントは完全な鍵にアクセスすることなく実行権限を取得できる。

監査および通知：完全に追跡可能な操作ログとリアルタイムのアラートシステムを提供します。すべての操作は追跡可能であり、異常が発生した場合はアラートが通知され、各エージェントはいつでも一時停止できます。

現在、エージェントの動作ロジックは通常、指示によって制御されていますが、タスクのオーケストレーションは資金の制約とは異なります。

エージェントは、依然として誤った判断を下したり、本来の動作から逸脱したり、攻撃や悪意のある入力の混入にさらされたりする可能性があります。ウォレットレイヤーの意義は、「資金を使用できるか、いくらまで使用できるか、どの資産を運用できるか、どのエンティティとやり取りできるか、そして例外的な状況下でどのように処理を中止するか」といった、資金の権限に関するシステムルールを事前に定義することにある。エージェントが規定から逸脱したとしても、実際に発生し得るファンドの行動は、あらかじめ設定された範囲内に限定されます。

第IV章Agenticウォレットの状態：四つの道と四つの隙間

既存のAgentic Walletソリューションに関して、我々は「エージェントを金融システムにどのようにオンボードするか」という課題には本質的に対処しているものの、「エージェントがチェーンをまたいだり、複雑な実世界環境において資金を安全に利用できるようにするにはどうすればよいか」という問いにはまだ答えられていない、4つの典型的なケースを特定しました。

Coinbase、Safe、Privy、Polygonは、それぞれインフラ、ガバナンス、アクセス制御、アイデンティティの各レベルにおいて、実現可能な解決策を提示している。今後取り組むべき課題は、これらのローカライズされた機能を、チェーンを横断して動作し、環境間を移行でき、かつ複雑な敵対的シナリオ下でも機能し続けることができる統合制御システムに、さらに統合することである。Agentic Walletの現在のボトルネックは、主に以下の4つの課題にあります：

まず、アイデンティティと評判は、まだ持ち運び可能ではありません。

オンチェーン上のエージェントの身元確認および評判評価システムは構築可能ですが、チェーン、ウォレット、運用環境を横断して相互運用可能な汎用的な信用システムは、依然として存在していません。あるエコシステムにおいてエージェントが築き上げた実績や評判は、そのまま別のエコシステムに移行することはできない。

第二に、ポリシー層には統一された基準が欠けている。

Coinbaseは利用限度額を設定し、Safeはオンチェーンモジュールを採用し、Privyはポリシーエンジンを使用し、Polygonはセッション単位のウォレットを採用しています。業界では、権限管理レイヤーが中核であることは広く認識されているが、移植性があり、組み合わせ可能で、製品をまたいで再利用可能な統一されたポリシー標準はまだ確立されていない。

第三に、敵対的セキュリティの分野は依然として未発達である。

プロンプトの注入、ツールの汚染、悪意のあるスキル、汚染された外部入力――こうした問題は、従来のスマートコントラクト監査では自動的に解決されることはありません。エージェント時代において新たに生じた真の問題は、モデルの意思決定プロセスが悪意のある入力によって歪められた場合、ウォレットがどのようにそのリスクを特定し、介入し、阻止するかという点である。

第四に、サプライチェーン全体の網羅には程遠い状況である。

既存のソリューションの多くは、単一のチェーン、あるいは限定的なマルチチェーンの範囲に依存していますが、エージェントの経済活動は、一つのエコシステム内に長く留まることはありません。真に成熟したエージェント型ウォレットは、マルチチェーン環境、マルチ実行環境、およびドメイン間の権限の一貫性といった課題に対処できなければならない。

第5章：表層の下――次の10年におけるAgenticウォレット

現在、Agentic Walletの設計における重点は、ユーザーがエージェントをきめ細かく制御できるようにすることに置かれています。ほとんどの実装において、ウォレットの役割は受動的な署名者に近いものです：エージェントがスキルを呼び出し、スキルがトランザクションを生成し、ウォレットがバックエンドで署名を行い、その後オンチェーンでの実行が行われる。

しかし、代理人が実際に資金の管理を開始するのであれば、最終段階で署名するだけでは明らかに不十分である。より合理的なアプローチは、実行前に権限チェックを行うことです。エージェントがスキルを呼び出した後、そのリクエストはウォレットの内部ポリシープレーンに入り、ポリシー検証に合格して初めて実行が承認されます。

いわゆる「ウォレット・ポリシー・プレーン」は、システムアーキテクチャにおける「コントロール・プレーン」と「データ・プレーン」の概念を借用したものです。これはエージェントの動作とオンチェーン実行の間に位置し、ポリシーエンジン、KYT/KYAチェック、セッションキーの検証、リスクスコアリング、および例外処理を統合した、統一された意思決定プラットフォームを形成しています。

この概念は決して珍しいものではありません。Stripeの決済アーキテクチャも同様のロジックに基づいています。開発者はシンプルなAPIを介して操作を行いますが、実際に資金が移動する前に、Stripeはバックグラウンドでリスクの特定、ルールチェック、コンプライアンス処理をすでに完了させています。Agentic Walletが果たすべき本質的な役割は同様であり、上層部では開発者にクリーンな実行インターフェースを提供しつつ、下層部では権限判定のためにフロントエンド向けのポリシーエンジンを活用することです。

その緊急性は、プロンプトインジェクション、ツールポイズニング、悪意のあるスキルによって攻撃対象領域が急速に拡大している一方で、ウォレット側のセキュリティインフラが大幅に遅れをとっている点にある。標準化されたウォレット・ポリシー・プレーンは、現時点ではまだ業界全体で共通の基盤となる要素とはなっていない。

ただし、ポリシープレーン自体が最終的な形になるわけではありません。エージェントの識別情報やレピュテーション・システムが徐々に成熟するにつれ、認証ロジックは静的なルール主導型から動的な信頼主導型へと移行していくでしょう。現在は、あらかじめ設定された境界、制限条件、ホワイトリスト、および手動によるオーバーライド経路に依存していますが、将来的には、オンチェーンの取引記録、行動履歴、およびエコシステム横断的な信用データが徐々に検証可能なエージェント信用基盤を形成し、より多くの承認決定が、アイデンティティ、履歴、および実際のパフォーマンスに基づいて行われるようになるでしょう。

エージェントが他のエージェントと機械的な速度で経済的な相互作用を始める際には、制御メカニズムを最初からシステムに組み込んでおく必要がある。ウォレットの役割も変化していくでしょう。初期段階では、不正行為を防ぐ「ゲートキーパー」としての役割を担いますが、成熟段階ではインフラに近い存在となり、信頼できるエンティティがアカウント、権限、決済システムに摩擦を最小限に抑えながら継続的に接続できるようにする役割を担うようになります。

この10年間、ウォレットをめぐる戦いの舞台は、画面上のそのエントリーポイントであった。今後10年間、戦いの舞台は、ユーザーには見えない制御の層となるだろう。

この記事は寄稿記事であり、BlockBeatsの見解を代表するものではありません。