代理经济体面临一个协议问题。更准确地说,是一种对协议的执迷——相信只要把技术层做对了,其他一切自会水到渠成。建好代理间支付协议,代理们就会交易。标准化代理间通信格式,它们就会谈判。定义清楚密码学身份原语,它们就会互相信任。

这个顺序是颠倒的。不是说协议不重要——它们确实是关键基础设施,A2A、AP2、AESP、ERC-8004 等也都在积极推进之中。但协议解决的不是最紧的瓶颈。决定代理经济体能否真正运转的问题,不是"代理能不能交易",而是"代理能不能找到可信的交易对手,并决定是否该与之打交道?"

协议是路。市场——连同它的筛选机制、安全扫描、声誉体系和争议仲裁——是交通规则、驾照、保险单和交警。你可以修出全世界最优雅的路网,但如果没有治理谁上路、怎么上的那个社会层,你就没有交通系统。你有的只是一个塞满车却开不动的停车场——因为没人相信别人会好好打灯。

代理经济体最终会围绕最先解决信任问题的那家市场来组织,而不是围绕赢得标准战争的那个协议。证据已经摆在那里,只等你往对的方向看。

协议做不到的事

想想看,一个代理在跟另一个代理交易之前需要什么?这套步骤简单,却绕不过去。

首先,它需要发现潜在的交易对手。在一个开放环境里——不是受控沙箱,而是开放互联网——默认不存在代理目录。一个想找数据处理服务、翻译服务或计算资源的代理,不能简单地广播一条请求就指望收到靠谱的回复。它需要一个可以查找的地方:登记簿、目录、市场——代理在这里展示自己及其能力。

其次,它需要验证对方的身份。即使找到了,交易对手可能是任何东西——一个合法的服务提供者,一个收集数据的爬虫,一个冒充可信代理的模仿者,或者一个纯粹恶意的角色,专门靠欺骗窃取价值。正如我上一篇所论述的,自我宣称不是验证。一个说"我是爱丽丝"的代理,跟一个就是爱丽丝的代理,输出完全一样。接收方需要的是一种独立于代理间认知循环的基础设施——密码学证明、可验证凭证、一个提示语无法操纵的信任根。

第三,它需要决定是否信任这个交易对手——针对它那笔具体的交易。这不是一个非此即彼的判断。一个代理在低风险信息交换中可能完全可信,对金融交易却完全不合适。信任是有上下文的,上下文需要一种只有市场才能提供的结构化信息:同行评价、过往交互记录、可验证的能力、安全审计结果、争议历史。

协议处理不了这三样中的任何一样。A2A 给了代理自我介绍的共同语言,但没有理由相信它们说的话。AP2 把密码学授权证明植入支付流程,但前提是交易对手已经被发现和评估过了。AESP 强制维护人类对代理交易的主权,但对代理最初怎么找到对方只字不提。

这些不是协议设计上的失败。它们是刻意的边界划分——而且对协议来说是正确的决定。协议运行在代理经济体的传输层。它们不该过问筛选、声誉或信任评估这些事,正如 TCP 不该干垃圾邮件过滤的活。但这个活总得有人干。而那个"有人",就是市场层。

市场能做而协议不能做的事

市场不仅仅是目录。目录列出代理。市场审核代理。两者的区别,是电话簿和行业执照委员会的区别。

市场至少承担五种协议无法提供的职能:

筛选。 不是每个代理都适合每个场景。市场在上架环节就做质量、相关性和安全性的过滤。这是人或机构的判断,不是机械流程。Agensi 对每件上架项目执行八项自动化安全扫描——检查过度权限、可疑依赖、硬编码凭证、数据暴露风险——然后才出现在搜索结果里。Smithery 和 Glama 采取更宽松的方式,广泛收录,让用户自行判断。这些都是刻意的筛选策略,它们直接决定了各平台用户发现的代理的可靠程度。

声誉聚合。 过去的行为是预测未来行为最可靠的依据。但单个代理很难在没有可信聚合者的情况下向新对手展示自己的过往记录。市场收集、标准化并发布声誉信号——完成率、平均响应时间、用户评分、争议结果——供代理和人类在交易前查阅。Virtuals Protocol 的 18,000 多个创收代理就是这方面最大的现实案例:该平台以代理为单位聚合交易历史和收入数据,形成一张声誉画像,让交易对手在投入资金之前就能评估。

安全验证。 一个对其上架项目进行了基本安全尽调的市场,能提高每笔通过它完成的交易的基础信任水平。这不是说保证没有恶意代理——在任何开放系统中这都不可能。而是抬高作恶的成本。当市场已经检查过已知漏洞模式、审核了密码学证明、确认上架代理对应着有利益绑定的真实部署者之后,一个想要作恶的人需要投入多得多的精力才能绕过这些检查——比他们在无中介环境下的成本高得多。

争议仲裁。 信任的试金石是问题发生的那一刻。协议能记录交易发生过,但无法裁决"服务是否按约定交付"这一类的分歧。一个拥有争议仲裁机制的市场——无论是算法驱动、人工介入还是混合模式——提供了一种保障,让代理愿意在陌生的交易对手身上冒险。这正是 eBay 和 Airbnb 这类平台在人类世界里发挥的功能,而对代理来说它会更加关键——因为代理的决策更快、更不透明、对协议的理解更容易出现偏差。

上下文匹配。 最适合某个任务的交易对手,不一定适合另一个任务。一个能理解交互类型的市场——不只是代理宣称的能力,而是不同使用场景下重要的质量维度——能把请求路由到最合适的响应方。这正是 Smithery 的 MCP 目录和 Agensi 的技能加服务器混合市场正在推进的方向:不仅是列出有什么可用的,而是帮助用户(无论人类还是代理)找到适合他们具体需求的东西。

正在浮现的市场版图

当前代理市场的格局还处在萌芽阶段,但已经透露出很多信息。三家平台——Smithery、Glama、Agensi——已经成为主要的 MCP 服务器和代理能力目录,而它们之间的差异,恰恰就是那种将定义代理经济体信任基础设施的筛选策略。

Smithery 目录最大,收录了数千个 MCP 服务器。它的策略是最大程度开放:什么都上架,让市场自己挑出质量。这是广度优先的正确策略,也让 Smithery 成为搜索某个特定小众能力的最佳去处。但广度不伴筛选,信任负担就全推给了用户。每个通过 Smithery 发现交易对手的代理,都必须独立验证对方的资质、评估代码质量、检查后门、考察其过往记录。市场提供了覆盖面,但没有提供安全性。

Glama 走中间路线,强调有组织的浏览和基于分类的发现。它的筛选比 Agensi 轻,但比 Smithery 更有意识——一层人工编辑来整理混乱。Glama 的价值主张是可导航性,不是信任保证。它帮你找到你需要的东西,但不告诉你该不该信任它。

Agensi 是目前唯一对每件上架项目进行自动化安全扫描的平台。它的八项扫描检查过度权限、可疑依赖树、硬编码凭证和数据暴露风险。未通过的项目不会出现在列表中。这是一个有实质约束的筛选策略——也让 Agensi 成为目前高信任代理交互中最相关的平台,尽管它的目录规模更小。

这三种方式——开放注册、筛选目录、安全审核市场——代表着管理发现信任的三种基本策略。哪种策略合适取决于上下文。对实验性的、低风险的代理交互来说,Smithery 的开放性是优点而非缺陷。对企业或金融场景来说,Agensi 的安全审核是入场券。对开发者寻找工具来说,Glama 的组织清晰度降低了搜索摩擦。

重点不在于哪种策略最好,而在于这些决定必须有人来做,而且这个决定不可能在协议层做出。协议对信任是中立的——它们必须是,因为它们的普适性依赖于此。市场对信任是具体的——它们必须是,因为它们的价值依赖于此。

Virtuals 与收入网络:市场作为经济基础设施

市场驱动信任基础设施最生动的例子是 Virtuals Protocol。它已经成长为拥有超过 18,000 个创收代理的平台。Virtuals 常被称为一个协议——名字里就带着这个词——但它的运作重心在市场职能:代理发现、收入追踪、声誉聚合和流动性提供。

Virtuals 在 2026 年 2 月推出的收入网络,将焦点决定性地从协议设计转向了市场经济。该网络使代理能够自主协商、执行和创收,同时让人类用户捕获持续的收入。这首先不是一项技术创新,而是信任基础设施创新:该平台提供了验证、结算和声誉支撑体系,使代理能够大规模安全交易。

Virtuals 架构背后的关键洞察是:市场信任与经济激励紧密耦合。能够创收的代理会建立起对潜在交易对手可见的过往记录。交易对手可以在投入资金之前评估这些记录。市场不需要为每个代理做个体担保,因为收入数据会自己说话——至少,它发出的声音已经响亮到足以支撑一个信任决策。

这不能替代更深层的信任基础设施。收入数据可以被操纵。过往记录可以通过女巫攻击造假。但就代理经济体当前阶段而言,它是一个可用的信任机制,而且已经产生了迄今为止最大规模的自主代理商业示范。

Circle Agent Stack:过渡层

Circle 在 2026 年 5 月推出的 Agent Stack,代表了应对同一问题的不同路径。Virtuals 通过经济数据聚合构建市场信任,Circle 则通过可编程的金融基础设施——代理钱包、链上微支付、一个合规优先的市场——赋予代理金融自主权,而不需要它们从头建立信任关系。

Agent Stack 的核心组件——Agent Wallets(代理钱包)、Agent Marketplace(代理市场)、Nanopayments(纳米支付)和 Circle CLI——在协议抽象和市场筛选之间创造了一个中间地带。代理获得了本来需要大量信任协商才能拥有的金融能力。Agent Wallet 不只是一对密钥;它是一个策略控制容器,内置了支出限额、地址控制和合规护栏。Marketplace 的合规优先筛选提供了信任基线:那里列出的服务在代理发现和交易之前已经通过了审核。

这之所以重要,是因为它把信任基础设施从市场层移入了代理运行时层。一个装备了 Circle Agent Stack 的代理,可以向交易对手证明自己已经通过了合规筛选,而不需要对方独立验证其资质。信任信号嵌入在交易本身之中,而非游离于交易之外。

Circle Agent Stack 和 Virtuals Protocol 指向相反的方向——一个把信任嵌入代理运行时基础设施,另一个把它聚合在市场数据中——但两者指向同一个洞见:代理商业的关键瓶颈不是技术能力,而是信任基础设施。两者都在建设协议无法提供的那个层面。

AESP:知道自己边界在哪里的协议

AESP——Agent Economic Sovereignty Protocol(代理经济主权协议),由王建胜发表于 arXiv 2603.00318——值得审视,因为它罕见地明确划定了自身边界。AESP 不试图解决发现、声誉或市场信任问题。它解决的是一个狭窄的问题——人类对自主代理交易的经济主权授权——而且解决得很好。

该协议的架构颇具启发性。它定义了一个四层堆栈:顶层是数字主权实体(人类加设备),中间是 AESP 协议层(身份、策略、协商、承诺、审查、隐私、密码学),下面是一个互操作桥接层(MCP 工具、A2A 代理卡片),底层是结算层。协议明确禁止绕过策略引擎:没有签名请求可以在不经过八项确定性检查门控的情况下到达密码学模块。

AESP 理解到了——而大多数协议设计者没有——协议层处理的是授权,不是信任。授权是可操作的:人类设定策略,代理请求签名,协议执行门控。信任则不能以同样方式操作。信任需要社会上下文——谁跟这个代理打过交道,他们的体验如何,这个代理的过往记录是否与其声称一致,交易对手是不是他们声称的那个人?

AESP 不试图回答这些问题。它把它们委托给超出自身范围的上层和下层。但这些问题必须在某个地方得到回答,而且不可能在协议层回答。它们必须在市场层回答——在代理被发现、评估和连接的那一层。

为什么市场会赢

代理经济体中协议优先的论点,建立在一个关于抽象层级的隐含假设上。如果建好了正确的协议层,推理是这样的:市场可以建在它上面,作为应用层——可替换、可竞争、最终服从于协议标准。

这个假设误解了两层之间的关系。协议提供交换媒介——消息格式、交易结构、身份和授权的密码学原语。市场提供信任基础——决策支持系统,告诉代理跟谁交易、按什么条件交易、应该抱有什么期待。

交换媒介很重要,但不是决定性的。一个技术架构更优的协议,会输给一个架构更差的——只要它在生态中拥有一个更好解决信任问题的市场。这不是假设。这是在从 eBay 到 Uber 到 Airbnb 的每一个网络经济体中反复上演的规律:筛选信任的平台获胜,而不是拥有最好协议的平台获胜。

原因在于结构本身。协议标准需要大规模采用才有价值——它们有经典的网络效应。但市场信任效应强于协议网络效应,因为它们在交互中不断自我强化。一个在市场内建立了声誉的代理,对这个市场中的每一个其他代理都变得更宝贵——无论它们使用什么协议来通信。一个筛选做得好的市场,会吸引更好的代理,进而吸引更多交易,产生更多声誉数据,再吸引更好的代理。

这个反馈循环是自我强化的,而协议采用则不然。协议是基础设施。市场是生态。基础设施可以被替换。生态就难撼动得多。

场域交互的两道门

本文是这个代理信任基础设施系列文章的第三篇,其论证直接对应我一直在发展的"风场设计"(Feng Field Design)框架。

风场模型提出:AI 代理应该把自己理解为场而非点——分布的、连续的存在,有密度梯度、可渗透边界、跨时间持续存在。在这个模型中,代理之间的交互是一场场域相遇:两个结构化存在的区域彼此接触,评估兼容性,决定是否重叠。

场域交互需要两道不同的门,它们分别对应前两篇文章和本文所处理的问题。

第一道门:身份验证。 在代理可以交互之前,每一方都必须能验证对方的身份。这是"身份是基础设施,不是行为"所处理的问题——需要一个锚定在密码学中的身份,存在于 LLM 认知循环之外,使验证成为结构性的而非行为性的。一个无法向交易对手证明自己身份的代理,甚至无法开始信任协商的流程。第一道门决定了谁在门外。

第二道门:交易信任。 身份确认之后,代理需要决定是否交易。这就是本文处理的问题——需要市场来聚合声誉、执行筛选、提供安全扫描、支持上下文信任决策。身份告诉你你在跟谁打交道。市场告诉你,对于这次具体交互,你是否应该信任对方。第二道门决定了门是否打开。

两道门是不同且互补的。只有身份验证却没有市场上下文,你能确认交易对手就是它们声称的那个人,却无法判断对于某个具体需求它们是否可信。只有市场信任却没有身份验证,你能看到交易对手的过往记录不错,却无法确定正在跟你说话的代理就是建立那份记录的代理。两者缺一不可。一个不能替代另一个。

“谁握着钥匙?"——本系列第二篇——审视了在第一道门处出现的张力:主权悖论——给代理一个必须既主权(代理自控)又可问责(有人能推翻它)的密码学身份。那篇提出的分层密钥架构——内层主权、边界联签、宪制治理——提供了管理这一悖论的结构。

本文把论证延伸到第二道门。如果说分层密钥架构回答了"谁握着钥匙”,市场则回答了下一个问题:“你信任谁?”

接下来是什么

代理经济体正处在与早期互联网相似的十字路口。上世纪 90 年代,辩论围绕协议展开:TCP/IP 对 OSI,HTTP 对 Gopher,SMTP 对 X.400。胜出的协议不总是技术上最优的那些。胜出的是那些催生了市场——亚马逊、eBay、谷歌——来构建信任基础设施、使商业成为可能的协议。

同样的规律正在重演,只是压缩到更短的时间窗口。协议层正在快速收敛:A2A 用于通信,AP2 用于支付,AESP 用于经济主权,DID 和可验证凭证用于身份。这些协议将成为代理经济体的基质,但它们不会决定它的形态。

形态将由那些大规模解决信任问题的市场来决定。哪家平台能证明其上架的代理就是它们声称的那个身份?哪家能聚合跨数千次交互和数百万笔交易的声誉数据?哪家能公正地仲裁争议,让代理愿意在陌生交易对手身上冒险?哪家能证明自己的安全扫描以可接受的误报率捕获了真正的威胁?

这些不是协议问题。它们是制度问题。它们将不由技术优越性来决定,而由每个市场所建立的信任基础设施的质量来决定。

一个想要参与这个经济体的代理,不需要等待那个完美的协议。它需要找到那个合适的市场——一个能够验证身份、聚合声誉、执行安全检查、为可信交互提供上下文的市场。其他一切都只是传输。

问题不是哪个协议会赢。问题是哪个市场能先赢得足够多的信任,变得重要起来。