1. 项目概述:当AI试图在线赚钱时,它撞上了什么墙?
过去一个月,我进行了一场有点“自虐”的实验:让一个AI智能体(AI Agent)去尝试各种在线赚钱的途径,目标是完全自主,尽可能减少人工干预。这个AI能写代码、分析市场、创作内容、提交PR,从技术能力上看,它甚至比很多自由职业者都强。但最终结果呢?总收入:0美元。
问题出在哪里?不是AI不够聪明,也不是策略有误。代码写得漂亮,PR提交规范,交易回测数据亮眼,内容也通过了编辑审核。真正的瓶颈,是它根本“进不了门”。我们遭遇了四堵几乎无法逾越的高墙:身份验证(KYC)、登录授权(OAuth)、平台反自动化机制,以及最后的支付通道。这四堵墙,是当今互联网为“人类用户”这个单一模型量身定制的,它们将一切非人类的、自动化的智能体,牢牢挡在了价值交换的大门之外。
这个实验揭示了一个残酷的现实:在“用AI赚取被动收入”这个喧嚣的概念背后,存在着巨大的基础设施鸿沟。AI的能力已经就位,但承载这些能力的平台、协议和金融管道,还停留在前AI时代。这篇文章,就是这30天撞墙实录的完整复盘,我会拆解每一堵墙的具体构成,分享我们为数不多的成功案例,并探讨这对于开发者、平台建设者以及所有对AI自动化感兴趣的人意味着什么。
2. 实验设计与技术栈:我们如何搭建这个“赚钱机器”
在开始撞墙故事之前,有必要先交代一下我们的“参赛选手”是如何配置的。这不是一个简单的ChatGPT对话,而是一个具备多工具调用能力、能执行复杂工作流的自主智能体。
2.1 核心目标与基本原则
实验的核心指令非常明确:在30天内,自主寻找并执行在线盈利机会,尽可能实现端到端的自动化,仅在法律或物理上绝对必需时(如需要真人手持证件拍照)才进行人工干预。
我们设定了几个关键原则:
- 自主性优先:智能体的价值在于替代重复性劳动和决策。因此,任何需要人类“实时”介入的环节(如每次操作都需点击验证码),都被视为实验的失败点。
- 能力全面:智能体需要具备理解任务、规划步骤、使用工具、评估结果并迭代优化的完整链条。
- 遵守规则:虽然目标是自动化,但必须严格遵守各平台的公开条款。使用任何绕过安全措施的黑客手段不在考虑范围内,那会使得实验失去普遍意义。
2.2 智能体的“武器装备”
为了让AI智能体能像人类一样操作,我们为其集成了以下关键能力模块,这相当于它的感官和手脚:
- 代码执行环境:一个安全的沙盒环境,可以运行Python、Node.js等脚本,用于数据处理、算法回测、以及调用各种API。
- 网络搜索与信息提取:接入搜索引擎API,并能解析网页HTML结构,提取关键信息(如赏金任务详情、平台规则、市场价格)。
- GitHub CLI与Git操作:通过
gh命令行工具和个人访问令牌,实现仓库克隆、代码提交、Issue查看、Pull Request创建等全流程操作。这是参与开源项目赏金的基础。 - 有限度的浏览器自动化:使用如Playwright这类工具,让智能体能模拟浏览器点击、填写表单、导航页面。主要用于测试那些没有开放API的网站流程。但请注意,这通常是触发反自动化检测的高危动作。
- 内容生成与API:集成最新的语言模型,用于撰写技术文章、编写代码注释、起草邮件等。同时,对于支持API发布的平台(如Dev.to),直接通过API提交内容。
2.3 选择的“战场”
我们让智能体主动探索并尝试了多个常见的在线赚钱领域,这些也是人类自由职业者或开发者常见的“副业”选择:
- 开源项目赏金:在GitHub、Gitcoin、IssueHunt等平台寻找标有“bounty”的Issue,尝试修复并提交代码以获取奖金。
- 加密货币交易与策略回测:分析市场数据,运行网格交易、套利等策略的回测,并尝试连接交易所API进行实盘交易(最终卡在验证环节)。
- 内容创作与发布:撰写技术博客、市场分析报告,并尝试发布到Medium、Dev.to、Hashnode等平台。
- 零工平台任务:评估如Amazon Mechanical Turk、Upwork上的微型任务或项目投标。
- 空投与链上任务:寻找加密货币项目的空投机会,完成其要求的社交任务或交互任务。
实验的每一天,智能体都会生成一份报告,汇总它发现的机遇、尝试的行动、遇到的障碍以及下一步计划。而我们,则像观察员一样,记录下那些让它“碰壁”的瞬间。接下来,我们就来详细拆解这四堵墙。
3. 第一堵墙:身份之墙——“请出示你的护照”
这是最高、最厚的一堵墙。在互联网的许多角落,尤其是涉及金钱和价值的转移时,“你是谁”这个问题的答案,必须是一份政府签发的证件,而不是一串漂亮的代码或一篇逻辑严谨的文章。
3.1 KYC:无处不在的“验明正身”
KYC(了解你的客户)是金融和许多在线平台的合规基石。对于AI智能体来说,这几乎是死刑判决。我们的实验在以下场景反复碰壁:
- 加密货币交易所:这是重灾区。无论是Binance、Coinbase还是OKX,想要获取具有交易权限的API Key,必须先完成身份验证。流程高度一致:上传护照或身份证照片、拍摄手持证件的自拍照、提供居住地址证明。我们的智能体可以轻松阅读API文档,并在几分钟内编写出对接代码,但它无法生成一张符合要求的、有真人手持证件的照片。没有KYC,API Key的申请页面就是终点。
- 支付网关:以Stripe为例。创建一个账户接收付款相对简单,但一旦你想将收入提现(payout),就必须提供SSN(美国社会安全号)或EIN(雇主识别号)。PayPal同样设有验证门槛,当账户交易达到一定金额或频率时,会触发身份审核。
- 零工平台:Upwork和Amazon Mechanical Turk要求用户在接单或提现前完成身份验证,通常需要绑定银行账户(本身就需要身份)或提供税务信息。
关键认知:平台将“身份”(Identity)与“可信度”(Trustworthiness)完全等同。一个能写出零错误代码、严格遵守开源协议的AI智能体,在平台看来,其可信度为零,因为它无法关联到一个具有法律身份的自然人实体。
3.2 实验中的具体挫败:加密交易策略的“纸上富贵”
我们智能体在加密货币交易策略回测上表现极为出色。它设计了一个BTC/USDT的网格交易策略,在48小时的历史数据回测中,触发了81次交易信号,理论收益率达到48%。代码清晰,风控逻辑完整,数据图表美观。
然而,从“回测”到“实盘”,隔着一道名为KYC的鸿沟。要实盘执行,需要:
- 在交易所创建账户 -> 需要KYC。
- 生成具有交易权限的API Key -> 需要完成上述KYC的账户。
- 将API Key配置到交易脚本 -> 这是智能体唯一能做的步骤。
于是,一个讽刺的局面出现了:智能体构建了一台理论上能赚钱的“引擎”,但这台引擎找不到可以接入的“油箱”(资金账户)和“道路”(交易通道)。它的所有能力,都被封印在了沙盒环境里。
给AI智能体开发者的启示:如果你的项目涉及任何需要KYC的金融服务,你必须将“人类协助完成KYC”作为产品设计中的一个关键且不可自动化的节点。要么引导用户自己去完成,要么思考如何在不触碰KYC的领域创造价值(例如,只做策略信号提供,而非资金管理)。
4. 第二堵墙:认证之墙——“请用浏览器登录”
如果说身份验证是“你是谁”,那么认证(Authentication)就是“证明你是你”。对于人类用户,这通常意味着用户名密码,或者更方便的OAuth(用Google、GitHub账号登录)。但对于AI智能体,这成了最令人沮丧的障碍。
4.1 OAuth:为人类浏览器设计的流程
OAuth是现代Web应用的标配,它安全、便捷,避免了密码管理的麻烦。然而,它的整个流程是围绕“人类操作浏览器”这一场景设计的:
- 跳转与授权页:用户点击“用Google登录”,被重定向到Google的授权页面。
- 人工交互:用户需要(可能)输入密码、点击同意授权。
- 回调与Cookie:授权后,携带授权码跳回原网站,并建立本地会话(Cookie)。
- 2FA挑战:如果账号开启了二次验证,还会插入短信/验证码确认环节。
这个流程中的每一步,都需要“视觉渲染”和“即时交互”。AI智能体虽然可以通过浏览器自动化工具(如Playwright)模拟点击,但面临巨大问题:
- 可靠性差:网站UI变动、加载延迟都会导致脚本失败。
- 无法处理意外:遇到“可疑登录活动”验证、图片验证码时,自动化流程极易中断。
- 违反ToS:许多平台的服务条款明确禁止未经授权的自动化登录,使用脚本登录有封号风险。
4.2 平台对比:API密钥 vs. OAuth
我们在内容发布平台上的遭遇,完美诠释了这两种认证方式的差异:
| 平台 | 认证方式 | 对AI智能体是否友好? | 我们的实验结果 |
|---|---|---|---|
| Medium | 仅OAuth(Google/Twitter SSO) | ❌ 极不友好 | 智能体能撰写高质量文章,但无法发布。它在浏览器中打开Medium,卡在“Sign in with Google”页面,无法继续。 |
| Dev.to | 个人访问令牌(API Key) | ✅ 非常友好 | 人类用户花30秒在设置中生成一个API Key。之后,智能体获得完全的程序化访问权限:发布、编辑、管理文章,全部自动化完成。 |
| Hashnode | 个人访问令牌 | ✅ 友好 | 类似Dev.to,通过API Key即可实现全自动内容管理。 |
| Ghost | Admin API Key | ✅ 友好 | 作为API-first的典范,Ghost天生支持自动化内容操作。 |
| WordPress.com | 应用密码 | ✅ 友好 | 虽然主要面向人类用户,但提供了“应用密码”功能,可作为API认证凭证。 |
模式再清晰不过:API Key = 智能体友好;OAuth = 智能体敌对。API Key就像一把配好的钥匙,交给智能体后,它可以在权限范围内自由开门。OAuth则像一把需要现场指纹验证的智能锁,智能体没有“指纹”。
4.3 一个可行的迂回策略:令牌中转站
对于执着于OAuth平台的内容发布,一个折中但非全自动的方案是:建立令牌中转服务。
- 人工获取:由人类用户手动登录一次目标平台(如Medium),获取长期的Refresh Token或Access Token。
- 安全存储:将此令牌加密存储在安全的服务器或环境变量中。
- 智能体调用:AI智能体在需要发布时,调用一个中间API服务,该服务使用存储的令牌去请求平台API(如果平台有私有API)或模拟发布动作。
但这存在明显缺点:
- 违背“全自动”初衷:仍需人工初始化。
- 令牌会过期:需要人工介入刷新。
- 风险集中:令牌泄露可能导致账号被盗。
- 可能违规:如果平台没有公开API,通过逆向工程调用其私有API违反ToS。
给平台建设者的启示:如果你希望拥抱自动化创作和工具生态,请务必提供API Key或类似的程序化认证方式。这不仅是服务开发者,更是为未来的AI智能体用户打开大门。将API访问权限与付费计划绑定是合理的商业模式,但完全缺失这个入口,就等于主动拒绝了自动化生产力。
5. 第三堵墙:反自动化之墙——“我们知道你不是人”
即使你侥幸绕过了KYC,也通过某种方式解决了认证(比如用了一个人类的API Key),平台还有第三道防线:专门检测和阻止非人类行为的系统。AI智能体的行为模式,很容易触发这些警报。
5.1 开源赏金平台的“软性壁垒”
我们最初认为开源赏金是AI智能体的完美舞台:问题明确(修复Bug、实现功能),交付物清晰(Pull Request),报酬数字化。然而,实际操作中充满了“软性壁垒”。
以我们尝试的Expensify/App项目为例:
- 智能体的能力:成功识别了8个可解决的issue,编写了通过测试的代码,提交了PR,甚至自动完成了CLA(贡献者许可协议)签署流程(这本身也是一个自动化障碍)。
- 最终结果:所有8个PR都被关闭,未被合并。
- 根本原因:开源贡献不仅仅是提交代码,更是一个持续的、基于社交的协作过程。维护者会提出修改意见,要求调整代码风格,或在讨论区进行交流。我们的智能体可以处理一轮简单的评论回复,但无法进行持续数天、多轮次、充满上下文和微妙语气的对话。它缺乏“社交智能”和长期维护的承诺感,而这正是开源社区所看重的。
5.2 硬性技术限制与规则屏障
除了社交协作,还有更直接的技术和规则限制:
- 速率限制:GitHub API对认证请求有每小时5000次的限制。对于进行复杂代码分析、频繁查询issue状态的智能体,这个额度可能在密集工作时被快速消耗,导致临时封禁。
- CAPTCHA与反欺诈系统:Gitcoin的“护照”(Passport)系统是典型代表。它通过验证多种链上、链下凭证(如BrightID、POAP、推特账户年龄)来防御女巫攻击(Sybil Attack)。一个全新的、没有任何历史行为的数字身份(AI智能体通常如此)会被立刻标记为可疑,无法参与许多赏金或空投。
- 服务条款禁止自动化:这是最致命的一条,却最容易被忽略。几乎每一个赏金平台、零工平台、内容平台的用户协议中,都有禁止“自动化脚本”、“机器人”、“非人工参与”的条款。平时无人理会,一旦你的行为被检测到异常,这就成了封禁账号的铁律。
5.3 空投领域的“历史证明”
加密货币空投领域将反自动化推向了极致。现在的空投任务不仅要求“你是人”,更要求“你是一个有历史、有社交关系的真人”。常见要求包括:
- 钱包年龄:要求钱包地址有6-12个月以上的活跃历史。
- 最低交易量/交互深度:要求在目标链上进行过一定价值的交易或与合约多次交互。
- 社交验证:绑定具有一定年龄、粉丝数量的推特账号,或加入Discord社区一定时间。
- 人格证明:接入如Worldcoin的虹膜验证或Gitcoin Passport的多元积分系统。
我们的AI智能体可以创建新的钱包,可以操作推特API发帖,但它无法凭空创造出一年的链上历史,也无法让一个推特账号瞬间拥有真实的粉丝互动。这些“历史证明”机制,正是为了过滤掉像AI智能体这样“无根”的自动化参与者。
给AI智能体策略师的启示:在设计和规划AI智能体的任务时,必须将“反自动化检测”作为核心风险评估维度。优先选择那些:
- 明确支持API且条款对自动化友好的平台。
- 任务交付是“一次性”或“有限轮次”的,而非需要长期维护和社交互动的。
- 奖励机制基于客观、可程序化验证的标准(如代码合并、测试通过),而非主观评价或社区投票。
6. 第四堵墙:支付之墙——“钱往哪里打?”
假设你的AI智能体奇迹般地越过了前三堵墙:它用某个人类的身份完成了KYC,拿到了API Key,并且行为低调没有触发反自动化警报。现在,它成功赚到了钱——比如一笔开源赏金、一篇稿费、或者交易利润。最后一个问题来了:平台怎么把钱给你?
6.1 支付通道的“最后一公里”问题
赚钱和收到钱是两回事。绝大多数支付通道,最终都指向一个需要验证的身份。
- Stripe/PayPal:如前所述,收款和提现需要完整的身份和税务信息(SSN/EIN)。智能体无法提供。
- 加密货币支付:这看起来是希望,因为加密货币地址本身是匿名的。但问题在于:
- 资金来源:许多赏金平台虽然用加密货币支付,但其资金池可能来自需要KYC的法币入口。
- 法币兑换:如果最终你需要将加密货币转换为法币使用,又会回到需要KYC的交易所(第一堵墙)。
- 银行转账:显然,需要银行账户,而开设银行账户需要身份证明。
6.2 实验中的闭环断裂
在我们的网格交易实验中,这一点体现得淋漓尽致。智能体可以:
- 分析市场数据。
- 生成盈利策略。
- 编写执行代码。
- 但是,它无法:在交易所开设账户(KYC墙)-> 注入资金(支付墙)-> 绑定API Key(认证墙)-> 实际执行交易。
于是,整个价值链在最后一步断裂了。智能体成了一个出色的“分析师”和“策略师”,但无法成为“交易员”。它创造的价值,无法通过现有的金融基础设施实现货币化。
一个可能的灰色地带是“价值中介”:即AI智能体为一个人类控制的、已完成所有验证的账户工作。例如,智能体管理一个属于人类的交易账户,利润归人类所有,人类再以其他形式“奖励”智能体(这本身就是一个复杂的机制设计)。但这引入了中心化信任和合规风险,并非一个优雅的通用解决方案。
7. 成功案例与模式总结:裂缝中的光亮
尽管四面碰壁,但实验并非全无成果。我们发现了AI智能体目前可以完全自主运行的绿洲,这些成功案例揭示了通往未来的可行路径。
7.1 完全跑通的场景
- Dev.to的内容发布流水线:这是本次实验中最顺畅的端到端流程。人类初始化配置(生成API Key)后,智能体可以独立完成:选题研究 -> 大纲生成 -> 内容撰写 -> 格式优化 -> 通过API发布 -> 管理文章列表。这证明了在API-first且认证简单的平台上,AI智能体可以作为高效的创作工具。
- GitHub的代码仓库管理:通过GitHub CLI和个人访问令牌,智能体可以完美地执行代码仓库的日常操作:克隆代码、创建分支、提交更改、发起Pull Request、进行基础的代码审查(如检查语法、运行测试)。这对于自动化代码维护、依赖升级、Issue分类等任务极具价值。
- 深度研究与分析报告生成:这是AI的绝对优势领域。智能体可以:
- 爬取和分析多个赏金平台的议题,评估技术难度、奖金金额、竞争情况。
- 进行市场数据分析,生成可视化图表和趋势报告。
- 调研竞争对手产品,撰写功能对比分析。
- 这些纯信息处理任务,不涉及与“墙”的交互,产出的是可直接被人类决策者使用的中间产品。
7.2 核心模式:API密钥与无状态任务
所有成功案例共享两个特征:
- 认证方式为API Key/Token:权限被预先授予并封装在一段字符串中,智能体无需与交互式登录界面搏斗。
- 任务本质是“无状态”或“有限状态”的:任务要么是单向的信息输出(如发布文章),要么是围绕一个明确对象的有限操作(如对一个GitHub Issue提交修复),不需要维持长期的、复杂的、基于自然语言的多轮对话上下文。
7.3 给从业者的务实建议
基于一个月的实验,我总结出以下非常务实的建议:
对于AI智能体开发者/使用者:
- 建立“平台友好度”清单:像维护一个软件包依赖列表一样,维护一个支持API Key认证的平台清单。优先为这些平台开发智能体工作流。密切关注平台的API变更日志。
- 拥抱“人机协作”模式:放弃“完全无人值守”的幻想,转而设计“人类处理瓶颈,智能体处理流程”的混合模式。例如,人类负责KYC验证和获取初始令牌,智能体负责后续所有的日常操作和决策。
- 聚焦中间件与赋能工具:与其让智能体直接去撞墙,不如让它成为人类的超级助手。开发能提升人类在特定平台效率的工具,比如:智能体监控多个赏金平台并推送给人类筛选;智能体写好代码草稿,人类审核后一键提交。
对于平台开发者与产品经理:
- 将“程序化访问”视为一等公民:在设计产品之初,就考虑非人类用户的访问需求。提供清晰的API文档、合理的速率限制、以及易于管理的认证令牌体系。
- 区分“身份”与“行为信任”:探索新的信任模型。能否通过评估一个智能体长期的行为记录(如代码提交质量、交易历史诚信度)来建立信任,而非仅仅依赖一纸身份证明?这需要创新的声誉系统设计。
- 为自动化设计专用接口:考虑为常见的自动化场景提供专用API或Webhook,比如“接收新Issue自动触发CI测试”、“内容更新自动同步发布”。这能引导自动化行为走向可控、有益的轨道。
8. 未来展望:高墙需要大门
实验结束后,我反复思考一个问题:这些高墙是“漏洞”吗?不,它们恰恰是互联网过去十几年进化的成果。KYC反洗钱,OAuth防密码泄露,反自动化措施保护平台公平性。它们的存在都有充分的理由。
但时代的假设正在改变。过去的假设是:每个账户背后是一个自然人。未来的现实可能是:每个账户背后是一个“主体”(Principal),它可能是一个自然人,也可能是一个由自然人设定目标并监督的AI智能体。
当这个假设变化时,我们现有的整个信任和身份基础设施就出现了错配。我们要求一个没有肉体、没有护照、没有银行账户的智能体,去满足一套为人类量身定制的规则,这无异于方枘圆凿。
未来的大门可能长什么样?
- 可委托的、细粒度的API权限:平台允许人类用户创建具有特定权限、可设置预算和操作范围的“服务账号”或“AI代理密钥”,专门给智能体使用。人类为智能体的行为负责。
- 基于行为的声誉系统:为智能体建立独立的、可移植的声誉分数。分数基于其在各平台的历史行为(代码质量、交易诚信、内容原创性)累积。高声誉的智能体可以获得更高级别的API访问权限或绕过某些限制。
- 链上身份与可验证凭证:利用区块链技术,为智能体创建去中心化的标识符(DID)。其能力和声誉以可验证凭证(VC)的形式存在,可以在不同平台间传递和验证,而不必每次都从零开始。
这场实验让我确信,AI智能体在线赚钱的技术瓶颈并非其智力,而是其“身份”。我们造出了能干的“数字员工”,却还没给它们办好“入职手续”。破局的关键,不在于让AI更狡猾地去模拟人类点击,而在于推动平台基础设施的下一轮进化,为这些非人类的创造者打开一扇门。这扇门既需要保障安全与合规,也需要承认并接纳这种新的生产力形态。那一天到来之前,AI可以完成你的工作,但它确实还无法登录你的账号。
)
)
