北京
49個工具。從區塊分析到內存池檢查,再到直接廣播簽名交易——比特幣網絡對AI徹底敞開了大門。開發者只需要一個MCP(模型上下文協議)服務器,就能讓大模型像查天氣一樣查詢鏈上數據。
但這里有個問題:如果AI搞錯了呢?
想象一下測試場景。你想讓AI解碼一筆交易看看結構,結果它調成了send_raw_transaction。一字之差,交易不可逆地廣播到了全網。這不是科幻。bitcoin-mcp的文檔里白紙黑字寫著這個工具的存在,和其他48個工具并排躺著。
AI代理不是用戶。它們沒有判斷力,只會執行提示詞。而提示詞可以被注入、被操縱、或者被寫錯。
Coinbase的工程團隊最近開源了一套叫Bitcoin Gateway Guard的方案。他們在AI和這49個工具之間插了一道閘機——agentgateway,用Rust寫的MCP安全網關。每個請求得過四道安檢,少一道都進不去。
第一道閘:沒有匿名這回事
JWT令牌,RS256簽名,缺一不可。網關要驗簽名、驗簽發方(bitcoin-gateway-guard)、驗受眾(bitcoin-mcp)、驗過期時間。沒令牌?401。過期了?401。簽發方不對?還是401。
這套邏輯聽起來像企業SSO(單點登錄)的標準流程,但放到MCP生態里卻罕見。大多數MCP服務器至今還在裸奔,靠"誰連上誰用"的樸素信任模型運行。
Coinbase的人用CEL(通用表達式語言)定義了兩個角色。管理員拿到全部49個工具。只讀用戶拿到47個——所有查詢類工具歸你,但send_raw_transaction和generate_keypair被顯式排除。
生成私鑰這個操作被單獨拎出來,是因為提示注入攻擊的噩夢場景:惡意輸入誘導AI調用generate_keypair,私鑰出現在響應里,然后被日志系統吞下、被緩存層記住、或者被UI直接展示。一條策略表達式,把攻擊面封死。
第二道閘:代碼里的if-else是債務
Coinbase的選擇很克制。權限策略不寫進業務代碼,而是丟進YAML配置文件,版本可控,審計友好。一條CEL表達式替代了傳統架構里層層嵌套的權限中間件。
這背后是他們對"策略即代碼"的執念。代碼會腐爛,注釋會撒謊,但聲明式配置至少誠實——你能在PR里看到誰改了什么,為什么改。
令牌桶算法跟在后面,每個消費者每分鐘請求數被硬封頂。防止什么?防止AI陷入推理循環,把比特幣節點錘到宕機。這種事故在LLM應用里不算新鮮,只是沒人想過它會發生在金融基礎設施上。
第三道閘:影子訪問是合規噩夢
六個月后,你能回答這些問題嗎:哪個AI代理訪問了什么數據?什么時候?為什么?
大多數MCP部署給不出答案。請求來了,工具跑了,響應走了,痕跡歸零。Coinbase的方案里,每道請求都帶審計日志,角色、工具、時間戳、結果狀態,全量留存。
這對合規團隊是救命稻草。金融數據的訪問軌跡不能是黑箱,尤其是當操作方不是人、不會寫情況說明、也不能被約談的時候。
agentgateway本身也是開源的。Coinbase沒有把它鎖在內部,而是扔到了GitHub上,Rust實現,依賴極簡。這意味著其他搞MCP的金融機構可以照搬,或者至少參考這個四層的架構思路。
比特幣網關守衛的命名有點直白,但設計思路值得細品:它把AI代理當成不可信組件處理,而非特權用戶。
這和行業主流敘事形成微妙反差。過去半年,MCP被包裝成"AI的USB-C接口",強調即插即用的便利。Coinbase的方案提醒了一句:USB-C也能傳惡意代碼,接口標準化不等于安全標準化。
他們的時間線也踩得準。bitcoin-mcp在開發者社區流傳數月,生產環境事故尚未大規模曝光,但風險場景已經被反復討論。Coinbase選擇在這個窗口期推安全方案,既有先發優勢,也避開了"事后救火"的被動。
一個細節:只讀角色被設計成47個工具,而非"除了兩個危險工具之外的全部"。這種枚舉式的白名單思維,和默認開放的黑名單思維,是安全架構的經典分野。Coinbase選了前者。
另一個細節:私鑰生成被和交易廣播并列視為高危操作。這反映了他們對"數據泄露"的廣義理解——不是只有轉走幣才算損失,私鑰材料的外泄本身就是事故。
這套方案能擋住所有攻擊嗎?當然不能。提示注入的變體永遠在進化,JWT令牌也可能被竊取。但四層防御的意義在于,攻擊者需要連破多關,而非單點突破。安全工程的本質是買時間、提成本、降概率。
Coinbase的工程博客沒有提具體部署規模,但agentgateway的代碼庫顯示它已經在內部跑了一段時間。開源決策本身也是一種信號:我們對這個架構有信心,敢讓人看實現細節。
MCP生態正在快速膨脹。除了比特幣,以太坊、Solana、傳統金融API的MCP服務器都在涌現。Coinbase的四層模型——身份認證、角色授權、速率限制、審計日志——很可能成為事實上的參考架構。
畢竟,當AI代理開始管理真金白銀時,"信任但驗證"的老話得改成"驗證,再驗證,然后記日志"。
現在的問題是:你的MCP服務器,還在裸奔嗎?
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
