对话 Coinbase 工程师 Julie Shi：AI Agent 不缺智能，缺的是一个人人可用的 IAM

作者：ChainCatcher 特邀记者

20 岁那年，Julie Shi 成为自动驾驶公司 Pony.ai 算法组的第一位女工程师。五年后的今天，她的身份横跨了 AI 和 Crypto 两个世界——Coinbase 软件工程师、Satoshi Inc 创始人、Berkeley Sky Computing Lab rLLM 框架核心贡献者、ENS DAO 历史上仅有的五位 Fellow 之一，同时也是 MIT GenAI Competition 冠军和 ETHGlobal 多次决赛入围者。

和很多从 Web2 “转型”到 Web3 的从业者不同，Julie 从来没有“转型”过。AI 和 Crypto 对她来说一直是两条平行线——从 Pony.ai 到 Meta，再到 Coinbase 和 Satoshi Inc，她始终同时走在这两条路上。

在这次对话中，Julie 没有给出一个乐观的 AI × Crypto 叙事。相反，她坦率地聊了为什么链上身份管理在技术上优于 Web2，又为什么在现实中可能走不通——以及什么条件下，这件事才有可能真正发生。

1. AI 和 Crypto 从来不是二选一

记者：你的经历很有意思——Pony.ai、Meta、Coinbase、ENS DAO、Berkeley 的 rLLM 项目，既有纯 AI 的，也有纯 Crypto 的。很多人会把这理解为“从 AI 转向 Crypto”，但你好像不这么看？

Julie Shi：对，完全不是转向。我 20 岁在 Pony.ai 算法组的时候就已经在接触 Crypto 了，两件事一直是平行的。

我其实不觉得 AI 和 Crypto 必须要重叠，很多时候它们解决的是完全不同层面的问题，没必要硬凑在一起。我喜欢它们的原因是——这两个领域都拥有改变世界的巨大杠杆。Crypto 的杠杆是 permissionless 的全球金融，它让资本和价值的流动不再需要准入；AI 的杠杆是生产力的指数级跃迁。而且它们都有非常狂热、非常聪明的 community。对一个 builder 来说，能同时站在这两个社区里是一件很幸运的事。

记者：这两个社区的人，你觉得有什么共同点吗？

Julie Shi：高度重合。AI 最早的一批 adopter 和 Crypto 最早的一批 adopter 基本是同一批人——像 OpenClaw 这类项目，参与的人往往在这两个领域都深度参与。这不是巧合，这些人本质上是对新范式极度敏感的，他们追求的不是某个赛道，而是技术前沿本身。

记者：但市面上很多项目确实在硬把 AI 和 Crypto 绑在一起。你怎么看这种组合？

Julie Shi：大部分这种“AI × Crypto”项目是 Web2 逻辑换了个壳——发个 token 套一个 AI 概念，或者把 inference 搬上链就说是 AI × Crypto。这些我不是特别 buy in。

但这不代表两者没有真实的交叉点。从 builder 的视角看，当 AI agent 开始自主行动的时候，它需要身份、需要支付能力、需要权限管理——这不是概念，这是工程问题。而这个工程问题，恰好是 Crypto 原生技术栈更擅长解决的。这种交叉是自然发生的，不是硬凑的。

2. 从 Hackathon 到 Vibe Coding：为什么现在才谈 Agent Identity

记者：你是 ETHGlobal、ETHDenver 多次决赛入围者，算是 hackathon 圈子里很活跃的 builder。但最近听说你参加得少了？

Julie Shi：确实少了。Vibe coding 出来之后，hackathon 的生态变了——短时间内做出一个能跑的 demo 已经不是稀缺能力。对 software engineer 来说，这种短期冲刺的意义反而在下降，核心竞争力回到了模型能力本身。Vibe coding 对 non-engineer 的价值更大，它真正赋能了那些本来写不了代码的人。

对我自己来说，我越来越觉得 hackathon 的价值不在于“一次次用新 idea 去 impress 谁”，而在于长期 build。创作门槛被拉低之后，稀缺的东西不再是“能不能做出来”，而是“做出来之后能不能在真实世界里跑起来”。

记者：这个观察怎么连到你接下来要聊的 agent identity？

Julie Shi：正是因为 vibe coding 让 agent 的“制造”变得极其容易，我们即将面对的是一个 agent 数量爆炸的世界——每个人都可以在一个周末 vibe code 出三五个 agent。这时候真正的瓶颈不是 agent 能不能做事，而是这些 agent 在真实世界里能不能被信任、被授权、被支付。

供给端的爆炸把基础设施的缺口暴露出来了。这就是 x402 和 agent identity 突然变重要的原因。

3. Agent Identity：Web2 认证模型的范式转移

记者：你提到 AI agent 需要身份和权限管理，这具体是什么意思？现有的 Web2 体系不能解决吗？

Julie Shi：Web2 的整套认证模型——OAuth、session、API key——是为人类用户设计的。它假设有一个“人”在操作，这个人会登录、会点击授权弹窗、会记住密码。

但 AI agent 不是人。它需要自主完成支付、签名、身份验证，而且是 7×24 不间断的。你不可能让一个 agent 每次执行任务前都弹一个 OAuth 窗口等人来点“允许”。

x402 协议就是在尝试解决这个问题的一部分——让 agent 能自主完成链上支付。但支付只是冰山一角，更根本的问题是 identity。Agent 需要一个原生的、机器可读的、不依赖人类操作的身份层。

记者：你在 ENS DAO 做 subdomain 身份管理的工作，是不是就和这件事相关？

Julie Shi：是的。我在 ENS 做的事情是帮助大型组织管理链上子域名身份——比如 .cb.id、.uni.eth。当时的 use case 主要是组织层面的：一个 DAO 或者一个企业，需要给它的成员分配统一的链上身份。

但你把这个逻辑往前推一步，它同样适用于 agent。一个组织可以给它的 AI agent 分配链上身份，用 subdomain 来定义这个 agent 的角色、权限范围、行为边界。这比现在 Web2 里给每个 agent 创建一组 API key 然后祈祷它不泄露要优雅得多。

4. 为什么这条路可能走不通

记者：听起来链上身份在技术上是更好的方案，但你之前也说过它“可能不会成功”。为什么？

Julie Shi：因为有一个很现实的问题：隐私。

大公司不会把内部的权限管理结构放到 public chain 上。没有哪个企业愿意让自己的 IAM 架构 readable by public——谁有什么权限、哪些 agent 在执行什么任务、组织内部的层级结构是什么样的，这些都是极度敏感的信息。你让这些东西上链，等于把公司的运营逻辑对全世界透明了。

ENS 在 retail 层面确实有很多用户，买域名、设头像、做 profile，但这些都不是 high utility 的场景。真正 high utility 的场景——企业级身份管理、agent 权限控制——恰恰是隐私问题最严重的地方。

所以坦率说，这条路在目前的条件下可能走不通。

记者：那你为什么还在关注这个方向？

Julie Shi：我没在直接做这件事，但一直在关注。因为这个方向在技术上是对的，只是缺了一块拼图。而且这块拼图已经有人在补了。

5. 链上隐私改变整个等式

记者：你说的“缺的那块拼图”是什么？

Julie Shi：隐私计算。具体来说，FHE（全同态加密）、TEE（可信执行环境），或者任何能在链上实现“可计算但不可读”的技术。

如果你能做到链上数据可以被验证、被计算，但不能被任何第三方读取，那之前所有的问题就都不存在了。企业的 IAM 结构上链了，但没有人能看到它的具体内容。Agent 的权限被链上验证了，但 agent 本身根本不接触 keys 和 credentials——它不需要“知道”自己有什么权限，链上可以在加密状态下证明它确实被授权执行某个操作。

这等于是一个人人可用的 IAM role。

记者：能展开说说“人人可用的 IAM role”是什么意思吗？

Julie Shi：现在 Web2 的 IAM 是什么样的？你要用 AWS 的 IAM，你得有 AWS 账号；你要用 Google 的权限管理，你得在 Google 的生态里。每个平台的 IAM 是封闭的，不互通的，而且你必须把你的 credentials 交给平台来托管。

如果链上身份加上隐私计算，你就有了一个开放的、无需许可的权限管理层。任何人、任何 agent 都可以接入，不需要某个中心化服务商给你开账号。Agent 不接触也不存储任何 key 和 credential，因为权限验证完全发生在加密状态下——它根本就不需要“看到”自己的钥匙，只需要被链上证明它确实拿着钥匙。

这消除了一整类安全风险。现在 Web2 里最头疼的问题之一就是 credential 泄露——agent 被注入攻击了、API key 被 log 到了明文里、token 过期没刷新导致越权。如果 agent 从头到尾都不接触 credential，这些问题就不存在了。

记者：你之前做过链上 FHE 扑克游戏，算是在这个方向上的实践？

Julie Shi：对，那是第一个基于 FHE 的链上扑克游戏，跑在 fhEVM 上面。扑克是一个很好的测试场景——每个玩家有自己的手牌，其他人不能看到，但链上需要验证出牌的合法性。这和 agent 权限管理的逻辑其实是一样的：你需要证明某个操作是合法的，但不暴露任何私密信息。

我的判断是：方向是对的，但现阶段隐私计算的性能瓶颈很大。FHE 的计算开销、TEE 的硬件依赖，这些都是实实在在的工程挑战。不过从趋势上看，这些问题在被快速推进，我不觉得这是一个永久性的障碍。

6. 智能不是瓶颈，基础设施才是

记者：你在 Berkeley Sky Computing Lab 做 rLLM 项目，这个框架训练出来的模型在多个 benchmark 上已经超越了 GPT-4 级别的表现。从你的角度看，AI agent 的能力现在到了什么阶段？

Julie Shi：rLLM 是一个用强化学习做 LLM post-training 的开源框架，我们训练出来的模型——DeepSWE 在 SWEBench-Verified 上跑到了 59%，DeepCoder 在 LiveCodeBench 上 60.6%——这些数字说明一件事：agent 的“智能”已经不是瓶颈了。

现在的 AI agent 已经能写代码、能调 API、能做复杂的多步推理。但它在现实世界里能做的事情，受限于基础设施——它没有原生的身份，没有安全的支付通道，没有隐私保护的权限管理。

这就好比你造了一辆性能非常好的车，但没有公路、没有加油站、没有交通规则。车本身不是问题，路才是。

记者：所以你认为接下来最值得关注的方向是什么？

Julie Shi：Agent 的基础设施层。谁能让 agent 安全地拥有身份、管理权限、完成支付，谁就在定义下一代互联网的基础协议。

这件事很难，可能会失败很多次。但方向是清晰的，值得最聪明的人去试。

Julie Shi 目前同时担任 Coinbase 软件工程师和 Satoshi Inc 创始人兼 CEO，后者估值 500 万美元。她是 ENS DAO 历史上仅有的五位 Fellow 之一，Berkeley Sky Computing Lab rLLM 项目的核心贡献者，MIT GenAI Competition 冠军，以及 ETHGlobal SF、ETHDenver、ETHGlobal Superhack 的多次决赛入围者。她曾获得 Tim Draper 的 Draper University 全额奖学金，并被 MiraclePlus（原 YC 中国）录取。