WEB4-SBTI

Web4-SBTI 钱包人格测试（SBTI Agent Vault POC）一个面向 Agent 时代的开源安全钱包/支付账户项目： 不让 Agent 拿主私钥，也能在边界内可靠花钱。在线链接 GitHub 仓库：https://github.com/ninglinLiu/WEB4-SBTI Vercel 线上演示（生产）：https://web-rk22828j7-123lkflhdskjfs-projects.vercel.app 项目是什么 本项目是一个 Hackathon 级完整 POC，围绕以下核心能力构建：授权：Session Key / Delegated Capability（限时、限额、限对象、可撤销）限制：Policy Engine（预算、白名单、时段、风险规则）恢复：会话撤销、过期失效、守护暂停（guardian pause）审计：结构化 Payment Receipt（本地可查、决策可追溯）支付执行：支持链上支付路径与 Agent 原生调用路径SBTI 在本项目中是解释层/叙事层，不是安全根。 安全根来自：权限边界 + 策略引擎 + 审批机制 + 可撤销能力。技术要求满足情况（路演版）去中心化与非托管用户资产自持，合约账户 + 本地控制平面协同。Agent 不触碰主私钥，仅使用受限会话能力。安全配置可编排单笔/日预算、白名单对象、支付类目、方法限制。决策输出支持 ALLOW / ALLOW_WITH_CONFIRM / DENY / FALLBACK_ROUTE。Agent 原生接入提供 MCP Server、CLI、HTTP API，直接对接 Agent 工作流。请求包含任务上下文（task_id / agent_id / reason）。可审计与可解释每笔请求都有标准化 Receipt（策略命中、审批模式、执行结果、时间戳）。SBTI 人格负责“可解释表达”，执行层保持硬边界隔离。恢复与权限管理Session key 支持轮换、撤销、到期自动失效。支持紧急暂停与分级权限（长期 Agent / 临时 Agent）。扩展能力（轻量落地）已加入 zk Login Lite（前端会话承诺演示）。已扩展 x402 Lite（机器支付头生成演示，适合 API 按次计费场景）。架构总览（Monorepo）contracts：Monad 合约与部署脚本（VaultAccount）sbtivaultd：Go 控制平面（策略、会话、审计、链执行）mcp-server：MCP 工具层（供 Agent 直接调用）cli：命令行工具policy-templates：SBTI 模板与解释文案web：前端演示（Vercel 静态部署）docs：威胁模型、验收清单、e2e 文档最小演示流程连接钱包并签名授权（可选开启 zk Login Lite）。完成 SBTI 行为测试，生成钱包人格 + 荣格八维映射。触发动态事件模拟，展示钱包在压力下的决策。在 Step4 查看策略命中、审批动画、Receipt 片段与 x402 Header。本地快速启动启动守护进程：cd sbtivaultd配置 SBTI_SIGNER_PRIVATE_KEY 与 config/settlement.yamlgo run ./cmd/sbtivaultd回到仓库根目录执行冒烟测试：powershell -ExecutionPolicy Bypass -File scripts/e2e-smoke.ps1前端演示：打开 web/index.html 或使用任意静态服务器启动 web/Meme 哲学愿景（项目灵魂） 我们相信 Agent 钱包不应只是“保险柜 UI”，而应成为一种可传播的协议文化：Meme 不是噱头：它把冰冷风控翻译成可理解、可共识的社会语义。人格不是权限本身：人格负责“叙事解释”，权限必须由硬规则执行。可传播即安全外延：当更多团队能看懂、复核、复用策略，系统安全边界才真正扩张。一句话： 让 Agent 的每一笔钱，都既能自动执行，也能被人类社会读懂。参考SBTI 语义参考：https://github.com/serenakeyitan/sbti-wikiMonad 文档：https://docs.monad.xyzMCP 规范：https://modelcontextprotocol.io