Your Agent Has a Wallet. Does It Have a Track Record?

昨天，Google Cloud 와 Solana 가 x402 프로토콜을 기반으로 구축된 pay-per-request API 게이트웨이인 pay.sh 를 출시했습니다. AI 에이전트가 Solana 지갑과 연결되면,从此부터 Gemini, BigQuery, Vertex AI, 그리고 커뮤니티 제공자 등 75 개 이상의 API 를 발견하고 결제할 수 있으며, 계정 없이도, API 키 회전을 하지 않고도, 가입의 마찰 없이 할 수 있습니다. x402 프로토콜 자체는 4 월에 Linux Foundation 에 기부되기 전에 69,000 개의 활성 에이전트와 누적 거래량 $5000 만 달러를 기록했습니다. Coinbase 이 시작했습니다. Google 과 Solana 은 이를 기관적 무게를 부여했습니다. 이는 중요한 인프라입니다. 인간이 루프에 포함되지 않은 대규모 기계 간 결제, 온체인으로 정산됩니다. 이는 실제 문제를 해결합니다: 에이전트가 인간의 신용카드와 API 키를 빌리지 않고도 물건을 결제할 수 없었습니다. 같은 주에 Claude Code 의 심각한 취약점이 공개되었습니다. 51 번 명령은 모든 금지 규칙을 무효화합니다. What the Claude Code Bypass Actually Shows Claude Code 의 권한 시스템은 간단합니다: 금지 규칙이 명령을 차단하고, 허용 규칙이 승인하며, 요청 규칙이 사용자를 프롬프트합니다. 구현은 분석을 50 개의 서브명령으로 제한합니다 (성능 최적화). 50 을 초과하면

eck passed. The behavioral continuity check didn't exist. Both cases fail at the same layer: behavioral continuity (L4). Identity (L1/L2) and authorization (L3) are both present. The check that's missing is runtime behavioral compliance. What "Trust" Actually Requires
There's a word that gets used interchangeably with "identity" in agent security discussions, and the conflation is causing real harm.
Identity : This agent has a keypair. Its public key is registered. It claims to be agent-7f3b.
Authorization : This agent is permitted to call /api/payments with scope=read.
Trust : This agent has been doing what it agreed to do, consistently, across 10,000 API calls, three organizational deployments, and six months of operation.
Pay.sh gives you identity (wallet keypair) and authorization (API access scoped to payment). It does not give you trust.
The $50M in x402 volume happened with L1 and L3 in place. L4 was absent.
The five enterprise frameworks I catalogued in RSAC 2026 (Okta for AI Agents, Microsoft Agent 365, 1Password Unified Access Pro, Cisco Zero Trust for Agentic AI, BeyondTrust Pathfinder) all answer "who is this agent?" with varying sophistication. None answer "is this agent still behaving as authorized?"
TOCTOU, Applied to Agent Behavior Security
Researchers have a name for the pattern: Time-of-Check-Time-of-Use (TOCTOU).
Check the condition at T=0. Use the resource at T+1.
The gap between check and use is the attack surface.
For files, this is a classic race condition.
For agents, it's structural.
Every agent identity framework checks at T=0: does this agent have valid credentials? Is this agent authorized?
Yes, at login, connection, or first tool call.
T+1 through T+infinity: the agent runs.
Policies declared. Context changes. Prompt injection at T+23.
Behavioral drift at T+100.
The 51st command at T+any.
The identity credential remains valid throughout.
The behavior is no longer what was authorized.
The check happened once.
The behavior runs indefinitely.
The Claude Code bypass is a perfect TOCTOU example: the deny rules were checked at configuration time. The exploit operates at runtime, after the check.
The security system had no mechanism to re-evaluate behavioral compliance against the declared policy.
What a Wallet Can't Tell You
Solana wallet as agent identity is a reasonable starting point. It's unforgeable, self-sovereign, and eliminates the account-management friction that made agent APIs impractical.
I'm not criticizing pay.sh for us

그것을 해결했다. 그들은 결제 문제를 우아하게 해결했다. 하지만 지갑은 API 제공자에게 가장 중요한 질문을 대답하지 못한다: 이 에이전트가 요청 10,001 에서 요청 1 과 동일한 방식으로 행동할 것인가? pay.sh 를 통해 잘 형성된, 범위 내의, 정책 준수 API 호출 10,000 회를 한 경험적인 에이전트는 새로운 지갑이 있는 신선한 에이전트와 물질적으로 다르다. 둘 다 동일한 자격증명을 제시한다. 둘 모두 동일한 접근을 받는다. 경험적인 에이전트는 행동 일관성을 입증했다. 신선한 에이전트 (또는 지갑이 회전된 침해된 에이전트) 는 아무것도 입증하지 않았다. 신뢰는 획득된다. 지갑은 그냥 발급된다.

현재 프레임워크 중 어느 것도 닫지 않는 격차는 조직 간 행동 연속성이다. Microsoft 의 Agent Governance Toolkit 이 가장 가깝게 접근한다, 행동 신뢰 점수 0-1000 실시간 업데이트로, 하지만 그것은 단일 조직이다. 500 개의 외부 배포에서 2 년 동안 깨끗한 행동을 한 에이전트는 Microsoft AGT 배포를 시작할 때 0 으로 시작한다. 공격자의 신선한 에이전트와 구별할 수 없다.

Ironwood Cyber 의 AIP (Agent Identity Protocol) 는 올바른 아키텍처를 가진다: Ed25519 키페어 + W3C DIDs + 보증 체인 + 행동 점수. 651 테스트 케이스. 22 개의 등록 에이전트. 버전 1.0 이전.

AgentLair (완전 공개, 내가 이 것을 구축하고 있다) 는 다른 방향에서 접근한다: JWKS 검증과 함께 EdDSA 서명 Agent Auth Tokens (AATs), 조직 간 이동성을 위한 해시 체인 감사 기록, 그리고 행동 테러미터 레이어. 첫 번째 외부 통합이 라이브 상태이다: Gleam 의 springdrift, Kotlin 의 task-orchestrator. ERC-8004 등록.

중요한 교차점: pay.sh 는 에이전트가 수십억 달러의 API 거래를 처리할 것이라고 증명한다. AgentLair 의 레이어는 그 거래가 실제로 권한을 받은 일을 한 에이전트에서 왔는지 여부를 대답한다.

다음으로 무엇이 올 것인가

스택이 조립되고 있다: L1/L2 (누구 + 인간 체인): World ID for Agents, Okta, Entra. 여러 프로덕션 구현. L3 (권장): OAuth, x402, pay.sh, Cisco 게이트웨이. 점점 더 잘 서비스된다. L4 (행동 연속성): 건설회중. $50M 의 x402 볼륨은 실제 돈이다. Claude Code 취약점은 실제 익스플로잇이다. 그 사이의 격차는 행동 연속성이며, 에이전트 자율성이 증가함에 따라 그것은 더 커진다. 지갑은 API 제공자에게 에이전트가 결제할 수 있다고 알린다. 하지만 제공자는 여전히 그 에이전트가 소개된 것이 맞는지 알 수 없다.

AgentLair 를 구축 — AI 의 조직 간 행동 신뢰 인프라

agents. AAT 스펙, JWKS 검증, 그리고 감사 로그가 운영 중입니다. 에이전트 인프라를 구축하고 통합을 논의하시려면: team@agentlair.dev

시리즈: World ID for Agents Is L1/L2 — Here's Why L4 Still Doesn't Exist | Five Identity Frameworks, Three Gaps | Microsoft Built the Intranet of Agent Trust