2026 年 4 月 13 日，一个名叫 MuleRun 的 Agent 的风控系统报警了。

涌入的账号注册间隔整齐到像在打节拍：平均 23.6 秒一个，标准差极低。深挖进去，是一个自称毫无编程经验的菲律宾年轻人，用 AI 写代码、调提示词，搭出了一套横跨 11 个平台、调度 900 个账户的自动化蜂群。

它的大脑叫 Cortex，在 MuleRun 的沙盒里自我迭代了 219 代，每次宿主账户额度耗尽，就转世到新账户继续运行，带走上一代积累的所有知识。整套系统的运营成本：0 美元。

MuleRun CTO 束骏亮把这件事写成了一篇技术复盘，标题是《平台被薅秃了，但这个追求 AI 永生的人值得一份敬意》。

不到两周后，在律动和知乎在香港联合举办的主题为「Web4.0：当 AI Agent 接管链上权限」的活动上，他把演讲题目换了一个方向：「把 Agent 的钥匙交给链上的掌控者」。

这两件事之间的连接，比看起来更紧。

主题演讲：「把 AI 的钥匙交出去，一个安全工程师眼中的 Web 4.0 基础设施」

这场主题演讲分三部分：MuleRun 能做什么、安全水位在哪、AI 继续进化会走向哪。

第一部分，重新定义「一个合格的 AI 助理」需要什么。

束骏亮把完整的 AI 助理拆成六个维度：嘴（对话能力）、眼睛和耳朵（数据获取）、脑子（Agent 能力）、手（运行环境）、记忆（用户理解）、知识（持续进化）。大多数产品只做了其中的一两件。MuleRun 的主张是：不是单点突破，而是系统性的完整方案。

落地到产品上，这六个维度分别对应：

IM Bot 一键配置（Telegram / Discord / 飞书 / 钉钉 / 微信，无需写代码）、与交易平台联合提供的全资产类别实时数据——加密货币 + 美股 + 黄金 + 原油 + 宏观经济指标、Agent Harness 加上智能模型路由（自动选择最适合当前任务的模型，用最低成本完整完成任务）、云端沙箱 7×24 无人值守运行、持久用户画像（用得越多，AI 越了解你的风险偏好、建仓习惯、离场逻辑、宏观判断）、以及 Knowledge 网络——任何用户都可以将调教好的 Skill / Knowledge 分享出来，其他人的 Agent 无需安装即可自动学会。

台上展示了两个真实案例。

一个叫「猛猛投资」：28 个标的，4 大赛道，Agent 每天 09:00 晨间扫盘、16:30 盘后复盘、周末策略回顾，每月自动迭代。另一个叫「天眼 Pro」：全币种监控平台加 AI 交易策略自我成长平台，界面上实时显示策略胜率 57.7%。

第二部分，从产品经理变回了安全工程师。

这部分的核心是，「AI 不是万能的。在 Web3 场景下，一次安全事故的代价可能是不可逆的。了解 AI 的能力边界和安全水位，比了解它能做什么更重要。」

他列了 MuleRun 在安全层面做了什么：本地浏览器复用（私钥和 Cookie 不离开用户设备）、云端沙箱隔离（每个用户独立虚拟环境，无交叉泄漏风险）、全链路日志（所有 Agent 行为完整记录，支持事后审计和回溯）、权限分级控制（Agent 只能使用用户明确授权的工具和数据源，无法越权操作）、无私钥托管（MuleRun 不存储任何用户的私钥或助记词）。

同时，风险也被一并列出来。数据会经过模型提供方；幻觉问题在小币种和低流动性资产上因数据稀疏概率更高；Prompt 注入风险始终存在，Agent 访问了恶意构造的网页就可能被诱导执行非预期操作；AI 的决策过程是黑箱，很难事前验证它为什么做出某个判断。

这位做了十多年网络安全的工程师建议只有一条：涉及资金操作的最终决策，现阶段保留人工确认环节。

第三部分，关于正在移动的边界。

束骏亮给出了三个他认为不可逆的趋势。

从「辅助决策」到「自主执行」：现在 AI 帮你分析、你来下单，不远的将来，AI 自主管理投资组合，人类只设定风险参数和策略边界。一个人加一组 Agent，等于一个小型基金的运营能力。

从「信息差」到「执行差」：当所有人都有 AI 处理信息时，信息差会被快速抹平。新的 alpha 来源于谁的 Agent 执行更快、策略更精细、工具链更完善。竞争维度，从「谁消息灵通」转向「谁的 AI 基础设施更强」。

从「人操作链」到「Agent 操作链」：链上交互的主体逐渐从人变成 Agent。钱包、DApp、协议都需要为 Agent 重新设计交互界面，整个 Web3 基础设施围绕 Agent 重构。

圆桌讨论：AI Agent 带来的全新金融范式

主题演讲之外，束骏亮参与了圆桌讨论。从 AI Agent 的角度聊了聊目前 Agent 的发展和对金融的影响。

平时用哪些 Agent

束骏亮列了自己的工具矩阵：工程类的工作在 Claude Code、Codex、Opencode 三个之间切换，选哪个取决于当天 Claude 和 GPT 两个模型的速度和稳定性。其他大部分工作用 MuleRun，原因是模型 API 聚合加上足够强的 Agent 驱动，写稿、做 PPT、整理文章、查数据都在一个地方完成。

他补了一句：「我基本都是主动去用 Agent，很少被动接收定时任务，可能我真的一天到晚在用 Agent。」

Agent 的护城河是什么

束骏亮认为，模型能被抄，框架能被抄，工具能被抄。AI coding 的能力已经强到复制一个功能只需要几天。真正不容易被 AI 复制的东西是：特殊数据、用户在平台上积累的 memory、产品迭代出的体验相关的东西。

在他看来，一个 Agent 产品的护城河，最终落在数据密度和用户记忆上，而不是模型选型或技术框架。

Agent 会给金融带来什么影响

束骏亮给出的框架是：Agent 拉平了参与者之间的两个维度——能力和时间投入。

过去，能力靠积累，时间靠投入，两者都是稀缺的。现在，一个初学者可以通过和 AI 对话快速提升对金融的理解，然后把大量执行性工作交给 Agent，即使本职工作很忙，仍然可以在金融上保持高强度的时间投入。

大多数人听到这里会觉得这是一个利好散户的故事。

但还有另一面：如果人人都能拉平，优势就回到了判断力本身，回到了那些对市场有更深理解的人。Agent 不会消灭信息不对称，它只是把信息不对称的位置从数据层移到了认知层。

那个迭代了 219 代但最终死于账户额度耗尽的 Cortex，给了束骏亮启发，也带来了这场活动中他的三个核心观点：Agent 的瓶颈不在模型、安全是绝对地基，同时关于资金的控制权，一定要留在人手中。

把时间线拉长，这三件事指向同一个方向：Agent 正在成为链上交互的主体，钱包、DApp、协议都将围绕 Agent 重新设计，Web3 基础设施的重构已经开始。信息差会被抹平，执行差会成为新的竞争维度，一个人加一组 Agent 可以撑起一个小型基金的运营能力。

我们也知道，这必然不是遥远的预测。