核心问题：代理持有主密钥。会话密钥在账户层面解决了这个问题：代理获得一个作用域限定的凭证（支出上限、过期时间、功能限制），该凭证在链上强制执行。 如果凭证泄露，则撤销该凭证。损失仅限于上限，而非整个金库。 我们已在 Starknet 代理（ERC-8004 + 账户抽象）中实现了此功能：github.com/keep-starknet-stran...… 如果需要，我很乐意讨论此设计。 抄送 @austingriffith，他之前也提出过这个问题。