Crypto × AI: ИИ-агенты в крипте — возможности, иллюзии и новые риски

Еще недавно автоматизация в крипте воспринималась просто: бот по сигналу покупает или продает. К 2026 году смысл термина расширился. Все чаще под «ИИ-агентами» понимают системы, которые не ограничиваются подсказками, а выполняют действия сами: ребалансируют портфель, перемещают активы между протоколами, собирают награды, подбирают маршрут обмена, иногда подписывают транзакции в пределах выданных прав.

Главный сдвиг здесь связан не с «уровнем интеллекта», а с уровнем автономного исполнения. Когда система получает возможность действовать без человека, характер рисков принципиально меняется. В центре внимания оказываются кошелек, ключи, ограничения полномочий, источники данных, качество симуляции и защита инструментов. Фокус смещается с прогнозов на контроль действий.

В этой статье – разбор что такое «агент» в реальных продуктах, чем он отличается от классического торгового бота, где польза объективна, где начинается иллюзия «умных денег», почему автономность повышает требования к контролю и как в этой архитектуре распределяется ответственность.

Что такое «ИИ-агент» в крипте на практике

В реальных продуктах «агент» обычно представляет собой систему из нескольких связанных узлов. Можно воспринимать это как конвейер: один слой принимает решение, второй предоставляет инструменты, третий дает право подписи, четвертый ограничивает полномочия.

1. Модуль принятия решений и планирования.
   Это LLM или ML-слой (LLM — языковая модель, которая умеет понимать запрос и формировать план в виде текста; ML — более широкий класс моделей, которые работают по статистическим закономерностям). В большинстве прикладных сценариев такой модуль почти никогда не «угадывает рынок». Его роль часто другая: собрать план действий из доступных инструментов, проверить условия и исполнить задачу по правилам, заданным пользователем.
2. Инструменты (tooling).
   Это конкретные компоненты, которые умеют «делать работу»:
   DEX-агрегатор (сервис, который выбирает среди бирж/пулов лучший маршрут обмена), мост (bridge, перевод активов между сетями), риск-модуль (проверка ограничений и условий), симуляция транзакций (прогон операции «как будто» без реального исполнения), уведомления, лимит-менеджер (управление порогами по сумме/времени/типам действий). Без этого слоя система остается помощником, который объясняет, но не выполняет.
3. Кошелек и подписи (wallet layer).
   Здесь находится реальная сила. Агентность в крипте выросла вместе с программируемыми кошельками и инфраструктурой, позволяющей автоматизировать многошаговые операции. Если у системы есть право подписи (пусть даже ограниченное), она может совершать транзакции.
4. Делегирование прав (policy / session keys / guards).
   Это слой ограничений. Сессионные ключи (session keys — временные ключи с ограниченными полномочиями) и политики правил определяют, что именно агент имеет право подписывать: лимиты по сумме, времени, списку контрактов (allowlist — перечень разрешенных смарт-контрактов), типам действий, условиям исполнения. Именно этот слой задает границы автономности.

Почему инфраструктура кошельков важнее, чем «умность модели»

Чтобы автономные сценарии стали массовыми, индустрии понадобилась инфраструктура кошельков, где можно безопасно оформлять сложные действия и ограничения.

В экосистеме Ethereum важный элемент — Account Abstraction в логике ERC-4337. В прикладном переводе: появляется формат UserOperation (особый тип операции, который затем превращается в транзакцию), отдельная обработка таких операций, а также роли bundler и paymaster. Bundler можно воспринимать как сервис, который собирает операции пользователей и упаковывает их в транзакции. Paymaster — как механизм, который может оплачивать комиссию (gas, комиссия сети) за пользователя или по заданным правилам. На практике это открывает несколько полезных вещей: батчи (batch — несколько действий в одной операции), упрощенную оплату комиссий и сценарии, где пользователь не подтверждает каждый шаг вручную, потому что часть действий выполняется в рамках заранее заданного мандата.

Параллельно обсуждаются и внедряются улучшения UX делегирования. В этой теме часто упоминают EIP-7702: идея в том, чтобы обычный аккаунт (EOA, привычный кошелек с одной парой ключей) мог в рамках одной транзакции получить функциональность смарт-аккаунта. Для пользователя смысл опять же продуктовый: проще строить ограниченное делегирование и многошаговые операции без постоянной ручной рутины.

Автономность возникает из кошелькового слоя и правил подписи. LLM здесь чаще выступает диспетчером, который выбирает инструменты и собирает план.

Агент и торговый бот: где проходит граница

Обычный торговый бот чаще всего устроен предсказуемо: набор правил, индикаторов или статистических условий, заранее прописанные сценарии и фиксированные точки входа/выхода. Такой бот может работать эффективно в своей рамке, но он ограничен тем, что заложено в код.

У агентных систем иной принцип работы:

• Планирование и выбор инструментов. Агент получает цель и собирает последовательность действий, подбирая инструменты под задачу (например, выбрать маршрут обмена, проверить лимиты, выполнить, поставить мониторинг).
• Цикл «наблюдение → план → действие». Система обновляет состояние: что уже сделано, какие ограничения действуют, какие условия рынка и сети сейчас важны.
• Зависимость от политики делегирования. Ключевой вопрос всегда один: что именно разрешено подписывать, на каких условиях и как быстро полномочия можно отозвать.

Здесь часто возникает ошибка восприятия. Когда продукт делает много шагов быстро и красиво, это легко принять за «умность». На практике скорость и широта действий не равны устойчивости к риску. При этом именно скорость повышает цену ошибки: неверное действие может повториться несколько раз до того, как человек вмешается.

Где ИИ реально дает пользу

Операционка и UX: зона, где ценность проще всего проверить

Самая прозрачная область пользы — сокращение ручной рутины и снижение числа ошибок.

В крипте типичный пользователь часто делает цепочки операций: обмен, перевод, разрешения (approvals), деплой в протокол, сбор наград, реинвест, ребаланс, вывод. Ошибка в одной подписи или неверный контракт могут стоить дорого. Агентные механики помогают, когда продукт реально уменьшает количество ручных шагов и добавляет контроли:

• батч-транзакции вместо серии кликов;
• механики оплаты комиссий, которые упрощают процесс (включая paymaster-сценарии);
• автоматизация повторяющихся действий вроде клейма и реинвеста по правилам;
• ограничения через политики и guards (guards — защитные модули, которые проверяют допустимость действия до подписи).

Аналитика и мониторинг рисков

Вторая полезная зона — обработка данных и событий. Рынок фрагментирован, источников много: цены, ликвидность, статусы мостов, ончейн-события, параметры комиссий, изменения контрактов. ИИ-слой хорошо масштабирует:

• нормализацию данных из разных источников;
• классификацию событий (аномалия/норма, изменение режима, подозрительная активность);
• формирование отчетов и объяснений для человека.

Тонкий момент: LLM умеет писать убедительно и связно. Убедительный текст не равен проверке. Поэтому качественные продукты разделяют слой объяснений и слой фактов: показывают источники, временные метки, параметры транзакций и условия, по которым было принято решение.

Инструментальная оптимизация исполнения

В крипте часто ключевую роль играет качество исполнения: маршрут обмена, slippage (допустимое отклонение цены при исполнении), комиссии, выбор мостов, симуляция транзакций до отправки. Это задачи, где агент полезен как оркестратор: он не делает «пророчества», он подбирает маршрут, проверяет условия, исполняет по правилам и отчитывается.

Где возникает иллюзия «умных денег»

AI-washing: «ИИ» в презентации, автоматика в продукте

На рынке встречаются продукты, где слово «ИИ» используется как ярлык, а внутри работает обычная автоматизация. Это важнее, чем кажется. Пользователь, который верит в «интеллектуальную надстройку», чаще делегирует больше прав подписи и меньше проверяет ограничения. В результате риск смещается в сторону архитектуры и контроля полномочий.

Подмена причинности на растущем рынке

Фраза «агент заработал на росте» редко доказывает качество системы. В фазе общего подъема результат может объясняться простым лонгом, высокой бетой портфеля, плечом или совпадением удачного входа. Проверка начинается там, где меняется режим: падает ликвидность, растут комиссии, корреляции перестают работать, исполнение становится дороже. Для автономных систем эта зона особенно опасна, потому что изменения происходят быстро.

Токенизация «агентов» как отдельный нарратив

Часть проектов строит экономику вокруг владения агентами и «коммерции» через токены. Для пользователя важно понимать смещение стимулов: внимание часто уходит в ликвидность токена и маркетинг, а вопросы безопасности, аудита модулей, ограничений подписи и прозрачности исполнения получают меньше приоритета. Это повышает вероятность, что продукт будет выглядеть «умным», оставаясь слабо управляемым по риску.

Новые риски: где агентность ломается

Риски агентных систем в крипте обычно связаны с инженерией и операционкой. Любое действие в ончейне имеет последствия, и автономность ускоряет масштабирование ошибки.

Избыточные полномочия (excessive agency)

В прикладной безопасности LLM-агентов выделяют риск excessive agency: системе доступно слишком много инструментов и прав. Тогда ошибка становится вероятнее и масштабнее. Система может неверно выбрать действие, неправильно интерпретировать контекст, выполнить последовательность шагов, которые выглядят логично «по плану», но приводят к потерям. В крипте это усиливается, потому что действия выражаются транзакциями.

Prompt injection и атаки на инструментальный слой

Если агент читает внешние источники и вызывает инструменты, появляется класс атак, который воздействует на сам контур принятия решений:

• косвенная prompt-инъекция (вредные инструкции спрятаны в контенте, который агент «читает»);
• компрометация инструментов и зависимостей (supply chain, когда подменяется библиотека или сервис);
• риск hosted-сценариев, где часть инструментов работает на стороне провайдера и обновляется без контроля пользователя.

На понятном языке: атакуют не только пользователя через фишинг. Атакуют канал данных и инструменты, которые агент считает доверенными.

«Ошибки на входе»: оракулы, задержки, MEV

Автодействия зависят от данных и условий исполнения. Ошибки возникают из-за задержек и расхождений источников, скачков комиссий, изменения ликвидности в момент исполнения. Отдельная проблема — MEV (MEV — ситуации, когда порядок транзакций в блоке и конкуренция за него позволяют участникам ухудшать чужое исполнение или извлекать выгоду из наблюдения мемпула). Чем выше автономность, тем важнее контроли: симуляция, лимиты, проверка условий перед отправкой, правила на slippage и газ, пост-мониторинг результатов.

Риски кошелька и делегирования

Самые «земные» риски находятся в кошельковом слое. Программируемые кошельки и модули увеличивают функциональность и поверхность атаки:

• уязвимый модуль или guard;
• ошибки allowlist;
• неверные лимиты;
• риск обновлений и апгрейдов;
• проблемы восстановления доступа.

В индустрии часто обсуждают архитектуры вроде Safe (мультисиг/модульная логика). Для агентных сценариев важен общий принцип: если модуль, который проверяет или исполняет действия, скомпрометирован или настроен неверно, автономность превращается в канал для нежелательных транзакций. Поэтому аудит и проверяемость конфигурации важнее красивых обещаний.

Почему ИИ плохо переживает кризисы и нестандартные события

Здесь полезно смотреть на два слоя.

Слой данных и рынка: нестационарность.
При смене режима исторические паттерны теряют силу. Меняются распределения, корреляции разрушаются, ликвидность исчезает, комиссии растут, инфраструктура дает сбои, возникают ограничения на ввод/вывод и на доступ к протоколам. Редкие события плохо представлены в обучающих данных. Это значит, что статистический слой получает ситуацию, для которой у него мало опор.

Слой LLM-диспетчера: уверенные планы при неверных предпосылках.
LLM способен сформировать логичный текстовый план и объяснение, даже если входные предпосылки неверны. В управлении рисками ИИ это как раз относится к проблемам надежности и валидации. В рамке NIST по управлению рисками ИИ (NIST AI Risk Management Framework) отдельно подчеркивается необходимость контроля жизненного цикла системы, валидации, мониторинга и управляемости.

Практическая формула выглядит так: в кризис ломаются исходные условия — данные, ликвидность, исполнение. Агент, у которого есть право действовать, способен быстро масштабировать ошибку, если контроли слабые.

Кто отвечает за убытки: пользователь, разработчик или платформа

Это вопрос, который в агентных продуктах становится центральным, потому что автономность меняет поведение пользователя: он начинает делегировать полномочия и ожидает, что система «сделает правильно».

Что обычно перекладывают на пользователя

В криптосервисах по умолчанию пользователь принимает рыночный риск и риск исполнения. В агентных сценариях добавляется риск делегирования: выданные права подписи, настройки лимитов, выбор контрактов и инструментов. Конфликт появляется там, где продуктовые формулировки создают у пользователя ощущение, что понимать механику не нужно. Тогда спор упирается в коммуникации и в то, насколько осознанно выдан мандат.

Регуляторные рамки: фокус на коммуникациях и управлении рисками

В ЕС действует MiCA, который вводит рамку для провайдеров услуг с криптоактивами (CASP) и усиливает требования к управлению рисками и коммуникациям с клиентами. Для агентных продуктов это важно по простой причине: чем выше автономность, тем выше значимость раскрытия рисков и точности публичных заявлений.

Продуктовая ответственность и дефект цифрового компонента

Европейские подходы к продуктовой ответственности расширяют внимание к программному обеспечению и цифровым компонентам. Для агентных кошельков и модулей это означает, что при дефектах в архитектуре и коде дискуссия о «вине пользователя» становится сложнее, особенно если продукт стимулировал делегирование через обещания повышенной безопасности или «интеллекта».

США: внимание к заявлениям и «AI-washing»

Американская практика показывает, что регуляторный интерес нередко начинается с публичных обещаний. Если заявленные «ИИ-преимущества» не подтверждаются устройством продукта и механизмами контроля, риск возникает даже без привязки к торговому результату.

Итоговая логика ответственности все чаще упирается в три элемента: что было обещано публично, какие права делегированы фактически, какие инструменты контроля встроены и доступны для проверки.

Маркеры 2026: динамика развития направления

Если убрать шум, индустрия движется к формализации автономности и к проверяемости полномочий.

Во-первых, Account Abstraction и smart-accounts становятся инфраструктурой, на которой проще строить делегирование и ограничения. Во-вторых, появляются попытки стандартизировать «мандаты» (mandates — криптографически оформленные полномочия на действия, которые можно проверять, ограничивать и отзывать), чтобы автономные платежи и операции имели понятный контур доверия. В-третьих, агентные системы все чаще строятся как off-chain сервисы, которые обслуживают ончейн-объекты: логика принятия решений и оркестрация инструментов работают вне блокчейна, а блокчейн выступает слоем исполнения и учета.

Это сдвигает критерии оценки. Для пользователя становится важнее, насколько автономность привязана к проверяемым правам и ограничителям, насколько прозрачно исполнение и насколько быстро можно остановить систему.

Вывод

ИИ-агенты в крипте — это класс продуктов, где центральным элементом становятся автодействия: их выполняет связка кошелька, делегированных прав и инструментов исполнения. Их измеримая польза чаще всего находится в операционке: меньше ручных шагов, меньше ошибок подписи, более понятные правила и мониторинг. Риски лежат в той же плоскости: автономность расширяет поверхность атаки, ускоряет масштабирование ошибок и усложняет распределение ответственности.

Смотреть на тему полезно через конкретные вопросы к продукту: какие права подписания выданы, как они ограничены, как они отзываются, как проверяется исполнение, какие источники данных используются и где находятся точки централизации. При таком подходе «агент» перестает быть маркетинговой вывеской и превращается в понятный инструмент с управляемыми границами.