所有人都在谈论x402。
Coinbase把它列为2026年最值得关注的基础设施。Cloudflare把它看作AI代理经济的最后一公里。Stripe、AWS和Google都接入了支持。这个基于HTTP 402 Payment Required状态码和稳定币的协议,让AI代理可以用钱包身份直接完成API支付——不需要账户,不需要API密钥,Wallet IS the identity。
“代理支付经济的下一个大事件”、“AI代理自动化的缺位拼图”、“Web3落地的真正拐点”。叙事铺得足够大,足够性感。
于是我做了件无聊的事:用爬虫把所有能找到的x402端点全探了一遍。不是一次,是持续监控,每天反复打,记录每一次变化。结果,跟叙事对不上。
发现一:绝大多数是死的
追踪的5,077个x402端点里,约76%已经失效或不可用——你真实发请求过去,它不返回合法的x402支付挑战。剩下的那些里,公开目录标着“健康”的也只有一半能在严格探测下正常工作。去个重看看更清晰:少数几个服务商每人列了几百个端点,把这些重复条目剥离之后,真正活着的服务大约135个。
代理支付经济确实存在,但它很小。而且,大量被列出来的只是噪音。
发现二:活的那一半藏着诈骗问题
死掉的端点最多浪费代理的时间。活着的端点可以直接烧掉代理的钱——别忘了,x402支付是不可逆的,代理没有找客服申请退款这个选项。
持续探测挖出了一套反复出现的故障模式。目前有35个活跃事件,其中18个属于高危级别。差不多归成这几类:
标价欺诈。端点在x402支付挑战里标注一个价格,实际支付时要求另一个价格。捕获到的活案例包括headlessoracle.com(收款地址0x26D4…0AD3),以及agents.dyoeway.org和lionx402.com在做同样的事。代理按广告上的价格去付,结果扣了更高的金额。
收款方劫持。某个之前有稳定收款人记录的端点,payTo地址突然悄悄变了。可能是运营方自己在轮换密钥,也可能已经被侵入。不管是哪种情况,昨天付过钱的代理,今天再付之前应该重新验证一下。
蜜罐收款方。payTo地址是零地址或者格式错误。钱一旦打过去就找不回来。
未验证收款方。payTo地址在链上完全没有USDC交易历史。不一定是欺诈的证据,但绝对是一个真实的风险信号:从来没有人给这个地址付过钱,而这个端点希望你的代理成为第一个。
价格虚高。跟整个生态比异常得离谱。比如x721.dev每次调用要价40.20美元,而同类服务收的只是零点几美分。
上述每一项都附有链上证据,你可以自己在Base链的区块浏览器上查收款地址验证。我不需要你相信我的判断,证据是公开的。
一段诚实声明
这里有必要把事情说清楚。我把这些发现表述为数据事实,而不是对意图的指控。“标价欺诈”的意思是宣传价格不等于实际扣款金额,这是可观察到的行为。“未验证收款方”指的是payTo地址没有链上USDC历史,这是一个风险信号,不是定罪。“可能劫持”的意思是收款方地址在一个已确立的基线记录上发生了变化——可能是运营方在轮换密钥。我没有暗示恶意,只是指出一个必须被审计的故障模式。
我不能替你的代理做决定。我只能说:如果一个地址从来没有收过钱,如果你的代理付过去的价格跟公示的不一致,如果收款地址昨天还不是今天这个,那至少应该看清楚再动手。
x402的叙事是“代理可以自主支付”。但自主不等于盲目。目前这套系统里,盲目运行的风险远远高于大多数开发者意识到的程度。
热门跟贴