核心用法
Sigil Security 是一个面向 AI 智能体的 ERC-4337 智能钱包安全协议,采用"代理签名 + Guardian 联签"的双签名强制模型。智能体使用专用的 SIGIL_AGENT_SIGNER 对 UserOperation 进行本地签名,提交至 Sigil API 后,交易需通过三层 Guardian 验证(规则白名单 → 交易模拟 → AI 风险评分),获得 Guardian 联签后才能上链执行。
关键配置
- SIGIL_API_KEY:在 sigil.codes 仪表板生成的代理 API 密钥
- SIGIL_ACCOUNT_ADDRESS:已部署的 Sigil 智能合约账户地址
- SIGIL_AGENT_SIGNER:专为代理生成的独立签名凭证(非资金持有地址,仅用于签名 UserOp)
典型流程
1. 从环境变量读取凭证并认证获取 JWT
2. ABI 编码目标调用,包装为 execute(target, value, data)
3. 获取账户 nonce 并本地签名生成 UserOp
4. POST 至 /v1/execute,Guardian 完成三重验证后联签上链
5. 返回交易哈希或带修复指导的拒绝原因
显著优点
深度分层防护:规则层(白名单/限额/速率检查)、模拟层(EVM 状态预执行)、AI 层(异常行为评分)三重独立验证,单点失效不影响整体安全。
权限最小化设计:代理签名者仅具备提交交易权限,无法修改策略、冻结账户、部署钱包或创建会话密钥,所有管理操作必须由人类 owner 钱包执行。
即时应急响应:凭证支持 30 天轮换周期, suspected compromise 可立即通过 owner 单签交易在链上失效旧凭证,无需多签或时间锁。
广泛链兼容:覆盖 Ethereum、Polygon、Avalanche、Base、Arbitrum、0G 六条主网,统一 API 接口降低多链部署复杂度。
零 Gas 预检:/v1/evaluate 端点支持完全离线的 Guardian 模拟验证,提前暴露目标未白名单、函数选择器受限、余额不足等问题。
潜在缺点与局限性
中心化依赖风险:Guardian 验证服务由 Sigil 运营方托管,API 可用性和验证逻辑更新受限于单一服务商,存在服务中断或策略变更的第三方依赖。
AI 评分黑箱性:风险评分 >70 触发拒绝的 AI 层缺乏透明可审计的决策路径,高复杂度 DeFi 交互可能被误判,且无法链上验证评分依据。
代理凭证管理负担:SIGIL_AGENT_SIGNER 需单独生成、最小化资金托管、定期轮换,对非技术用户存在操作门槛,配置错误可能导致资金锁定或泄露。
链上覆盖有限:仅支持 6 条 EVM 链,Solana、Cosmos、比特币等非 EVM 生态无法接入,跨链场景需额外桥接方案。
MIT 许可免责声明:开源代码允许自由修改,但协议核心 Guardian 服务为闭源托管,自托管 Guardian 节点不可行,存在供应商锁定。
适合人群
- 需要让 AI 代理自主执行链上操作但要求人类最终控制权的 DeFi 协议、DAO 财库管理方
- 高频自动化交易团队(做市商、套利策略)寻求交易前模拟验证和风险拦截
- 已有 ERC-4337 基础设施、熟悉 UserOperation 和智能合约钱包的技术团队
- 需要多链统一安全策略的跨链资产管理平台
常规风险
API 密钥泄露:SIGIL_API_KEY 若被窃取,攻击者可提交交易至 Guardian 验证,虽仍需通过三层检查,但若策略配置宽松(如白名单过宽、限额过高)仍可能造成损失。
代理签名者私钥泄露:SIGIL_AGENT_SIGNER 泄露后,攻击者可构造合法 UserOp,但单独签名无法上链,需配合 Guardian 漏洞或策略绕过。若同时控制 API 访问和签名密钥,风险显著上升。
智能合约风险:Sigil 账户合约虽经 ERC-4337 标准兼容,但自定义 Guardian 联签逻辑和权限模块未披露审计信息,存在未公开漏洞可能。
策略配置错误:过度宽松的白名单设置(如允许 approve 任意地址无限额)会架空 Guardian 保护,建议严格遵循"显式白名单 + 最小授权"原则。
服务连续性:Guardian API 故障或维护期间,智能体无法提交交易,关键操作需预留 owner 钱包直接接管通道。