Звід AI-агента до межі дозволів у ланцюгу: що змінює ERC-8004? Це стандарт, який визначає, як можна керувати дозволами та доступом до ресурсів у смарт-контрактах. Він дозволяє створювати більш гнучкі та безпечні системи управління правами, забезпечуючи точний контроль над тим, хто і що може робити у блокчейні. ERC-8004 відкриває нові можливості для децентралізованих додатків, підвищуючи їхню безпеку та функціональність.

Автор: CoinW дослідницький інститут

Коротко

З розвитком застосунків DeFi, абстракції акаунтів та AI Agent, оновлення дозволів у ланцюгу поступово перетворюється з одноразового підтвердження підписом у довгострокові, багаторазово використовувані права на виконання дій. Водночас відбуваються нові зміни: AI Agent вже здатні автоматично запитувати послуги та виконувати платежі, наприклад, протокол x402 через HTTP статус-код 402 дозволяє Agent у режимі без участі людини миттєво оплачувати ресурси та послуги стабільною монетою. Це перетворює поведінку в ланцюгу з ізольованих транзакцій у безперервний автоматизований процес співпраці.

На цьому фоні питання авторизації отримують додатковий акцент. Поточні методи авторизації у Web3 залишаються розмитими та грубими у виразі, здебільшого вирішуючи питання «можна чи ні використовувати активи», але важко відповісти, що саме дозволено робити та до якої міри. ERC-8004 був запропонований саме у цьому контексті. Він не визначає нові активи і не змінює порядок виконання транзакцій чи платежів, а намагається створити систему моделі прав доступу, яку система може зрозуміти та перевірити, щоб авторизація стала об’єктом, що можна описати, обмежити та керувати ним.

З більш широкої системної перспективи ERC-8004 і абстракція акаунтів, і автоматизовані платіжні протоколи, як x402, не є конкурентами, а виконують різні функції на різних рівнях: x402 вирішує питання обміну цінністю після дії, тоді як ERC-8004 зосереджений на тому, хто має право діяти до її здійснення та чи не виходить за межі дозволеного. У сферах DeFi, AI Agent, корпоративних структур та RWA ця структура дозволяє рухатися від рівня активів до рівня поведінки, створюючи базу для більш складної та довгострокової автоматизації. Хоча в реалізації виникають виклики щодо навчання, підтримки гаманців та користувацького досвіду, ERC-8004 — це не короткостроковий інструмент, а базовий стандарт, що визначає, чи здатен Web3 підтримувати складні системи.

1. Причини появи ERC-8004

З розвитком інфраструктури в ланцюгу зростає рівень абстракції та ускладнення можливостей, пов’язаних із активами та виконанням транзакцій. Від ERC-20, NFT до мультипідписних гаманців та абстракції акаунтів (ERC-4337), поріг входу для користувачів знижується, а акаунти стають дедалі розумнішими.

Проте фундаментальне питання — це механізм авторизації, який досі майже не зазнав суттєвих змін: у ранньому Web3 авторизація — це підпис приватним ключем. Користувач підтверджує «я погоджуюся», і будь-яка дія — переказ, виклик контракту або approve — вважалася одноразовим підтвердженням, ризики були цілком на користувача.

Сьогоднішнє середовище вже змінилося. У DeFi approve часто є довгостроковим; у автоматизованих стратегічних системах та Session Key авторизація використовується багаторазово; у режимі AI Agent або бота користувачі навіть не беруть участі у кожній операції. Авторизація перетворюється з одноразового підтвердження у тривале право на виконання дій, що нагадує делегування права на певний час.

Проблема у тому, що сучасна інфраструктура Web3 майже не має чітких та єдиних правил обмеження для такого довгострокового стану авторизації. Розмитість прав, неможливість швидко відкликати дозволи, непередбачувані ризики — джерело багатьох інцидентів безпеки. Водночас, абстракція акаунтів ще більше ускладнює цю проблему: коли акаунт може автоматично виконувати транзакції або платити за газ від імені третьої сторони, що саме він може і не може робити, стає ще менш зрозуміло.

Саме у цьому контексті з’явилася ERC-8004. Вона намагається заповнити цю прогалину — створити чітку, обмежувальну та системно зрозумілу модель прав доступу для довгострокової авторизації.

2. Основний зміст ERC-8004

Зосередженість ERC-8004 не на формі активу або способі виконання транзакції, а на тому, чи може авторизація бути окремо описана, незалежно перевірена та постійно керована системою.

2.1 Що визначає ERC-8004?

Згідно з офіційною документацією Ethereum Improvement Proposals (EIP): ERC-8004 — це стандартний протокол для виявлення, вибору та взаємодії з довіреними автономними агентами (trustworthy autonomous agents) у мережі Ethereum. Він через реєстрацію в ланцюгу, репутацію та механізми верифікації створює інфраструктуру агентів, що не потребує довіри за замовчуванням і дозволяє децентралізовано взаємодіяти.

Тут під автономними агентами розуміються не лише AI Agent, а будь-які суб’єкти, здатні отримати дозвіл та виконувати дії: контракти, автоматизовані скрипти, мультипідписні або сервісні процеси. ERC-8004 зосереджений на здатності суб’єкта мати чітко визначені межі дозволів та авторизації, AI Agent — лише один із прикладів.

З ширшої системної точки зору, ERC-8004 — не новий стандарт активів або тип акаунту, а рамка для вираження та перевірки прав доступу у ланцюгу. Вона описує, за яких умов суб’єкт може виконувати певні дії, і перед цим ці умови мають бути перевірені. Тобто, ERC-8004 не визначає «що таке гроші» або «як виконується транзакція», а «що дозволено робити». Вона не створює нових активів і не змінює властивості існуючих, а додає рівень чітких, перевірюваних правил прав доступу поверх активів і акаунтів.

Крім того, ERC-8004 не є заміною для абстракції акаунтів (ERC-4337). Або, якщо абстракція акаунтів робить транзакції більш гнучкими, ERC-8004 встановлює чіткі межі цієї гнучкості.

Головна ідея — перетворити авторизацію з прихованої дії підпису у чітко описуваний, незалежно перевіряємий та постійно керований об’єкт прав.

2.2 Основний механізм ERC-8004

Щоб зрозуміти механізм ERC-8004, уявімо його як «інструкцію з прав доступу у ланцюгу». У традиційній логіці авторизації користувач просто дає загальне погодження: «Я дозволяю вам керувати моїми активами». Деталі — що саме, скільки і коли — не уточнюються. У ERC-8004 авторизація розбивається на набір чітких правил, які можна описати та примусово виконати. Ця «інструкція» зазвичай містить п’ять ключових компонентів.

Хто (Who): Хто має право діяти?

Перш за все, потрібно визначити, хто отримує дозвіл. У ERC-8004 дозволено не лише конкретний гаманець, а й контракт, автоматизований агент або Session Key для короткострокових операцій. Це дозволяє гнучко налаштовувати авторизацію для складних сценаріїв: наприклад, дозволити стратегічному контракту виконувати дії у межах обмеженого набору, або агенту — виконувати конкретне завдання без повторних підписів. Важливо, щоб право було надано конкретній сутності, а не розпливчасто.

Що можна робити (What): Які дії дозволені?

Далі — конкретні дії. Традиційно, авторизація — це «усе або нічого». У ERC-8004 можна деталізувати, наприклад, дозволити лише виклик функцій swap або transfer, або обмежити типи функцій, що можна викликати. Це відповідає на питання «Що саме можна робити?», а не «Чи можна взагалі?».

За яких умов (Under what conditions): У яких випадках дія дозволена?

Це ключова відмінність від класичних підходів. У правилах авторизації можна закласти обмеження: ліміт суми, кількість викликів, час дії, цільові контракти або пули. Ці умови мають бути виконані перед виконанням дії, і якщо вони не виконуються — дія не буде дозволена.

Коли (When): Коли дія активна і коли закінчується?

Можна встановити терміни дії: дія активна лише у певний час, або автоматично скасовується після одного використання, або може бути відкликана. Це робить авторизацію більш гнучкою та керованою.

Як (How enforced): Як ці правила застосовуються?

Найважливіше — перед виконанням операції система перевіряє відповідність правилу. Якщо дія не відповідає визначеним правилам, вона відхиляється. Це відрізняє ERC-8004 від звичайних систем контролю, що реагують вже після порушення.

2.3 Нові можливості ERC-8004: чому раніше цього не було?

Здається, що ERC-8004 просто деталізує авторизацію, але раніше Ethereum не міг виразити складні логіки авторизації. Традиційно, авторизація — це просто перевірка «чи дозволено?». У ERC-8004 авторизація перетворюється на «поведінкову», де система сама визначає, чи відповідає дія встановленим обмеженням, враховуючи кількість, суму, час і т.ін. Це дозволяє створювати складні, комбіновані правила, що можна застосовувати до Agent, автоматичних систем і довгострокових сценаріїв.

З такою структурованістю авторизація стає повторюваною та модульною. Можна заздалегідь обмежити кілька кроків або дій у межах однієї авторизації, що відкриває шлях до автоматизації та безпеки.

Отже, ERC-8004 — це не просто «безпечніша авторизація», а здатність системи розуміти та виконувати правила доступу.

3. Потенційні сфери застосування ERC-8004

ERC-8004 — не прив’язаний до конкретного продукту, а є універсальним мовою для вираження прав доступу. Його цінність у тому, що він може застосовуватися у різних системах, де зростає складність авторизації.

DeFi: від «активів» до «поведінки»

Зараз у DeFi найпоширеніша модель — одноразове дозволення з необмеженим лімітом. Наприклад, approve для однієї операції. Це зручно, але ризиковано: у разі атаки або оновлення контракту, дозволи можуть бути використані неправомірно. ERC-8004 пропонує перейти до моделі «поведінки»: наприклад, дозволити агенту використовувати не більше 1,000 USDC за 24 години для однієї операції. Це робить управління ризиками більш гнучким і стандартизованим.

AI Agent: для автоматизованих дій із перевіркою прав

З появою AI Agent питання авторизації стає ще важливішим. Агент має довгострокові права, і без чітких правил ризик — це просто автоматизація з повним контролем. ERC-8004 дозволяє визначити, що саме агент може робити, у яких межах і з якими обмеженнями, і ці правила можна перевірити перед виконанням.

Співпраця з протоколом x402: дозволи і платежі

У сценаріях агентів важливо не лише дозволити діяти, а й забезпечити оплату. Протокол x402 через HTTP 402 дозволяє автоматично оплачувати ресурси стабільною монетою. ERC-8004 визначає, хто може робити що, а x402 — як оплатити. Разом вони створюють систему, де авторизація і платежі працюють у парі, забезпечуючи безперервний автоматизований процес.

Для бізнесу і RWA: права як основа відповідності

У корпоративних та RWA-сценаріях важливо мати чітке визначення, хто і за яких умов може виконувати дії. ERC-8004 допомагає формалізувати ці правила, що полегшує аудит і відповідність. Це не одразу змінює UX, але знижує бар’єри для інтеграції Web3 із традиційною фінансовою системою.

Загалом, ERC-8004 — не сценарій, а базова здатність, що зростає з ускладненням системи. Вона стає необхідною, коли поведінка у системі стає довготривалою та автоматизованою.

4. Виклики та довгострокова цінність ERC-8004

Проблеми

Перш за все — це навчальні витрати. Замість одноразової авторизації, ERC-8004 вводить складні правила, що вимагає переосмислення для розробників і користувачів. Це потребує часу для поширення. Також — підтримка інфраструктури: гаманці, SDK, виконавчі середовища мають розуміти та підтримувати цю модель. І, нарешті, UX: складна авторизація може ускладнити користувацький досвід. Важливо знайти спосіб зробити правила зрозумілими та зручними.

ERC-8004 — не короткостроковий інструмент

Враховуючи ці виклики, ERC-8004 не є короткостроковою революцією. Вона не принесе швидкого зростання користувачів або нових моделей доходу. Вона — це фундамент, що дозволяє системам залишатися керованими, прозорими і перевірюваними у складних сценаріях автоматизації, Agent-ів і довгострокових взаємодій. Це не стандарт для одного циклу, а базовий елемент, що визначає здатність Web3 підтримувати складні системи співпраці.