撰文：刘红林律师

周六下午参加了一场复旦大学区块链协会主办的 AI 与 Web3 主题的行业沙龙。

各位嘉宾讨论的话题很广：AI 创业、AI 支付、区块链安全、分布式算力、跨境部署、数据合规，几乎把这两个行业当下最热门的几个词都摆到了台面上。

前半场讲商业模式，讲 AI 创业和 AI 硬件；中段讲协议、安全和 Agent 的支付能力；后半场再把算力、跨境合规、数据出境。几位嘉宾的背景差异很大，有做云服务的，有做创业生态的，有做底层安全和协议的，也有做产业和资本的。

我的分享排在中间，主题叫「当 AI 学会花钱，我们该如何应对？」

这场活动听下来，我的一个感受是：AI 和 Web3 这两个词，过去经常被放在不同的话语系统里。AI 更像生产力叙事，讲效率、讲模型、讲应用爆发；Web3 更像制度和金融叙事，讲资产、讲支付、讲去中心化、讲链上信任。

但到了今天，这两个世界正在被一件非常具体的事情重新缝起来——AI 它开始要做事了，一旦它开始做事，就一定会碰到支付、授权、身份、责任。

创业端：市场已经不再奖励空泛的想象力

前面一位分享嘉宾，讲的是 AI 创业。他以前做过 VC，后来转到一线，开始直接陪跑项目。他看过太多项目，所以知道今天资本喜欢什么，也知道什么项目表面热闹，实际上并没有持续性。

他的判断是：这两年 AI 软件创业的迭代速度，和前几年 Web3 最热的时候很像，甚至更快。原来深圳一批做 Web3、做营销、做出海的人，现在大多都在看 AI，甚至已经直接转去做 AI 应用、AI 硬件或者 AI 服务。资本也确实在追，但追得并不平均。能融到钱的，要么是已经验证了用户增长和留存的数据，要么是赛道足够头部，能让投资人形成明确预期。一般项目、复制型项目、拼凑概念的项目，窗口越来越小。

他说了一句话，我觉得很实在：创业最好有两种心态，一种是做给 VC 看，一种是做给市场看；如果你真能自己赚钱，VC 自然会来找你。

今天做 AI，最大的一个变化就是复制速度极快。一个产品刚做出来，市场上很快就有模仿者，功能差异未必大，甚至一些大公司会直接下场。于是早期团队能建立起来的护城河，往往不是概念本身，而是需求验证速度、交付能力，以及能不能先跑出真实收入。

这一点，从他举的几个 AI 硬件方向也能看出来。无论是眼镜、耳机、个人助理设备，还是偏健康类、睡眠类产品，最后能不能活下来，不在于「AI」两个字贴得有多亮，而在于它到底是不是先解决了一个真实问题。

很多所谓 AI 硬件，本质上还是旧硬件换壳重来，只是加了一层资本更愿意听的描述。这样的东西，热闹可以有一阵，但很难持续太久。

所以如果从创业端看，这场活动给出的第一个现实信号其实很明确：AI 还是窗口期，但市场已经开始挑食了。

技术端：AI Agent 底层协议开始铺路

接着上台的一位基础架构方向嘉宾，讲的是「区块链上的 AI 安全风险」。这一部分技术词很多，现场也明显更安静一些，因为不再是创业和融资的语言，而是协议、权限、支付请求、信任验证、插件安全、系统暴露面这些更底层的问题。

但恰恰是这部分内容，让我觉得今天外界对「AI Agent 会不会成为现实」这个问题，其实已经有点问晚了。

他的意思很清楚：围绕 AI Agent 的自主交易、自主调用、自主支付，底层协议并不是空白。无论是支付请求协议，还是 Agent 间建立信任的机制，或者是让机器确认「对面是谁、能不能交易、能不能放心放权」的协议，都已经在往基础设施化方向走。也就是说，这套东西未必已经完全成熟，但绝不是 PPT 上的概念。

他举了不少例子，从支付协议到身份协议，再到 Visa 为 AI Agent 设计的程序化支付卡，核心都在说明一件事：机器支付这件事，已经不是「能不能做」，而是「怎么大规模做、怎么安全做」的阶段。

但这位嘉宾真正让我记住的，不是他列了多少协议，而是他后面讲的几个风险点。

分别是提示词攻击、插件、Skill 投毒，开发工具链被污染之后向下游扩散，以及系统权限管理失控。对圈外人来说，这些听起来都偏技术；但如果翻译成人话，其实就是：AI 一旦开始连着钱包、连着支付、连着插件、连着自动执行能力，那你过去在 Web2 时代见过的木马、后门、恶意插件、供应链攻击，会以更快的速度、更直接的方式再来一遍。

过去，一个插件有问题，可能只是你的浏览器卡一点，或者账户被盗。未来如果一个插件后门连着 Agent 的调用权限、支付权限和链上资产，那它一出事，丢的就不是数据，而是钱。

这点我觉得特别重要。

因为今天很多人谈 AI，还是停留在「它能不能更聪明」「它能不能替我做更多事」；但真正的分水岭，也许反而在于谁更早意识到：AI 一旦从回答问题进入执行任务，安全问题就不再是附属问题，而是核心问题。

我的分享：AI 开始花钱，我们需要如何应对？

我那一部分的题目，叫「让 AI 学会花钱，我们该如何应对」。

这个题目听上去有点像未来设问，但其实我想讲的恰恰不是未来，而是眼下已经开始露头的现实。

我先举了一个海外真实案例。一家 AI 公司做了智能购物功能，让 AI 代表用户调用亚马逊账号去完成购物。结果亚马逊把它告了，法院也支持了禁令。这个案子表面上看，好像是「AI 能不能访问平台」的问题，但本质上不是技术争议，而是商业结构争议。

为什么？因为现在绝大多数互联网平台的盈利方式，并不是简单卖货，而是把用户留在平台里，看广告、看推荐、看排序、看被精心设计过的路径。你今天如果让 AI 直接绕过这套路径，在全网找到最便宜、最快、最合适的结果，然后替用户完成交易，那平台原来的广告收入、流量分发逻辑、推荐系统价值，都会被直接削弱。

所以这个案子真正提醒我们的，不是 AI 能不能买东西，而是：如果未来的消费行为越来越多由 AI 代人执行，那今天互联网世界最核心的商业机制，很多都要被改写。

这个问题再往下拆，我大概讲了三层。

第一层，是身份问题。

今天所有重要的互联网账户体系，几乎都是为自然人设计的。手机号、邮箱、实名、银行卡、面容识别，这一整套东西都默认一个前提：下单的是人，付款的是人，承担后果的也是人。

但未来如果 AI 代表你去购物、去支付、去预订、去调用服务，问题就会立刻出现：它是谁？它代表谁？它被授予了哪些权限？它可以花多少钱？它下错单了怎么办？它如果被误导了怎么办？责任算在谁头上？

这些问题，今天很多人还觉得可以以后再讨论。但我作为律师，会非常敏感地意识到，这些不是远期问题，而是 AI 一旦进入交易环节后最先冒出来的实务问题。

第二层，是交互问题。

今天的网站和 App，本质上还是为人类眼睛和手指设计的。页面要好看，按钮要明确，路径要引导，验证码要拦截，广告位要展示。但 AI 不需要这些。它天然更适合 API、适合协议、适合机器之间直接通信、直接请求、直接结算。

也正是在这个层面上，我有一个越来越强的感觉：过去这些年 Web3 最被人嫌弃的那些东西，比如钱包、签名、授权、gas、链上调用，对人来说的确门槛很高，但对机器来说，它们反而是天然适应，毕竟 AI 不会嫌助记词麻烦，也不会抱怨交互复杂，它只会判断这套系统是不是可调用、可执行。

加密货币、链上支付和可编程结算工具，也许天然就不是给人类准备的，而更像是给未来的 AI 和 Agent 准备的。

第三层，是支付问题。

这一层最现实，也最容易被低估。

人类消费，整体上还是低频，大额、账户制，法币化的；但 AI 消费很可能是高频、小额、自动化、跨境化的。一个人一年消费次数有限，但一个 Agent 一天内调用模型、调接口、租算力、买数据、发请求，做微支付，可能是几千次、几万次。单笔金额却只有几美分、几厘钱，甚至更低。

这时候你再让它走传统支付体系，无论是信用卡、国际清算还是普通银行链路，成本和效率都完全不匹配。你很难想象，一个 AI 为了完成 0.001 美元的支付，还要付很高的手续费、走漫长的确认链路、经过层层清算。

也正因为如此，我现在越来越认为：AI 支付一旦真正起量，最后一定会倒逼支付基础设施的重新设计。

AI 和区块链的结合，是信任

AI 和区块链的结合，落脚点可能还是在信任，而这可是区块链的强项，毕竟它是被称为制造信任的机器。

AI 一旦能花钱，信任和责任问题就会立刻出现，大概会有如下几类问题。

第一类，是授权和责任风险。

你让 AI 去买一双鞋，它买错了尺码、买错了版本、下错了地址，责任谁来承担？如果 AI 帮你做套利、下单、执行策略，结果因为误解指令或者执行偏差造成损失，这个损失算谁的？这些问题今天显然都没有标准答案。如果区块链溯源到确实是你点了授权，不好意思，这事没办法。当然反过来也一样。

第二类，是信息误导风险。

今年 315 之后，大家其实已经开始意识到，围绕 AI 的「搜索优化」「信息投喂」「结果劫持」正在快速出现。原来我们担心人被 SEO 误导，未来更大的问题，是 AI 被误导。如果 AI 被误导，它就可能在购物、金融、支付这些环节里把错误放大，最后把风险传导到钱和交易上。

第三类，是反洗钱和灰产风险。

AI 高频、小额、跨境支付的模式，在监管视角里会非常像一种天然适合洗钱和跑分的场景。越自动化，越高频，越分布式，就越容易被坏人先拿去用。这一点，在加密行业其实早就反复发生过：任何一个能提升效率的新工具，灰产和骗子往往都是最早的一批用户。

第四类，是资产和权限托管风险。

如果未来 Agent 有自己的钱包、有自己的支付额度、有自己的自动调用权限，那谁来保管密钥？谁来限定权限？谁来防止它被黑客接管？谁来保证它不会在你不知情的情况下拿着你的额度做别的事？

所以我在现场想强调的，其实就一句话：AI 支付本质上不是技术问题，而是信任问题。

协议可以不断升级，产品链路也会越来越顺，但如果身份、授权、责任、审计、反洗钱这些问题没有同步解决，AI 再会花钱，也不可能真正大规模进入现实世界。

也正是在这个层面，我才会觉得，区块链对 AI 最有价值的地方，不是想象力，而是它在「信任机器」这件事上，确实提供了一套适合数字执行体的底层工具。

算力是一场全球基础设施竞赛

圆桌讨论环节，主题是算力。

几位嘉宾背景不同，但一个共识很鲜明：算力依然紧，而且短期看不到明显缓解。

来自甲骨文的一位嘉宾说得很直白，现在不是你要几张卡、几十张卡就有人理你的时代了，很多需求已经是成百上千张，甚至更大的项目以十万张卡为单位。没有足够大的体量、足够稳定的合同周期和资源关系，根本拿不到好的供给，也拿不到好的价格。

另一位做海外算力的嘉宾也讲得很现实：中国在算力上的综合成本并不低，尤其是采购、电力和数据中心协同成本，导致很多大一点的项目最后还是不得不往海外走。海外算力不只是卡更容易拿，综合成本也可能比国内更低。

这个问题，其实比很多市场叙事更说明现实。

过去两年，围绕「算力资产化」「算力证券化」「算力代币化」的故事很多，但如果你真把它拆到底层，会发现算力首先还是一个极其重资产、极其依赖能源、极其依赖供应链、极其依赖工程组织能力的问题。先有电，先有网，先有机房，先有卡，先有芯片供给和稳定部署，才轮得到上层生态去谈应用繁荣。

所以我在圆桌里也表达了一个很直接的观点：算力当然是战略资产，但它首先是战略基础设施，然后才是资本市场的话题。

先把这件事的物理世界搞清楚，再去谈它的金融故事，顺序不能颠倒。

小结

如果把这场活动最后压缩成几个更清楚的结论，我大概会落在下面四点。

第一，AI 创业还是机会，但今天的市场已经越来越不奖励空泛的故事。

要么你已经验证了需求和收入，要么你是赛道里极少数真正跑得快的团队。其他大部分项目，很快就会被复制和替代。

第二，AI 一旦开始做事，支付和交易会成为真正的主战场。

它不再只是问答工具，而开始像一个执行体。只要它开始执行，支付、身份、授权，责任、审计这些问题就绕不过去。

第三，Web3 对 AI 最现实的价值，不在概念，而在信任结构。

AI 负责提高效率，Web3 提供一种新的可编排、可验证、可结算的信任和支付方式。两者不是互斥关系，很多地方反而是天然互补。

第四，算力是一场重资产基础设施竞赛。

谁掌握能源、芯片、机房、卡的供给和工程能力，谁才有资格去谈更上层的生态。

今天 AI 和 Web3 还远远谈不上真正融合，更谈不上行业已经成熟，但它们确实已经开始在现实世界里相遇了。

这可能也是今天这个行业最值得高兴的地方。