當 AI 開始刷卡:KYA 框架如何成為下一個十年支付戰場的護城河
當自動化 Agent 以毫秒級速度自主完成跨境採購、訂閱管理與微型支付,傳統建立在「人類當下批准」邏輯上的 KYC、2FA、3D Secure 機制將不可採信。Visa、Mastercard、Google、AWS 與以太坊社群正在展開一場代理人身分驗證(KYA)的標準競賽,從 HTTP 簽章層、憑證代碼層、意圖授權層到鏈上聲譽註冊表,每一個技術選擇都關係到誰能主導下一波兆元級代理人商務的信任基礎設
KYA 一分鐘速讀
市場規模: WEF 預測 2034 年全球 AI 代理人市場達 2,360 億美元,代理人驅動的數位商務預計到 2030 年突破 1.7 兆美元
轉移驗證: 從 KYC 個人身分到 KYB 企業驗證,再到 KYA 代理人身分綁定,問責對象從人類延伸至自主軟體實體
核心衝突: AI 的概率性輸出與全球清算系統的確定性結算存在根本矛盾,IMF 提出意圖、授權、結算三層緩解框架
戰國格局: Visa TAP、Mastercard Agent Pay、Google AP2、AWS x402+AgentCore、ERC-8004 五大陣營從不同層級搶占標準制高點
監理變革: 新加坡 IMDA 推出全球首份代理人 AI 治理框架,歐盟 AI Act 強制日誌溯源 6 個月至 10 年,KYA 從資安支出轉為市場存活門檻
為什麼支付體系正在崩塌:KYA 必要性的三大驅動力
代理人身分驗證(Know Your Agent, KYA)正在成為下一個十年支付產業的關鍵戰場。 世界經濟論壇(WEF)預測,到 2034 年全球 AI 代理人市場規模將達 2,360 億美元,2024 年基數為 54 億美元。PwC「Sizing the Prize」報告進一步推估,人工智慧到 2030 年將為全球 GDP 貢獻達 15.7 兆美元。PYMNTS 2025 年報告則預測,代理人驅動的數位商務(agentic commerce)到 2030 年將突破 1.7 兆美元規模,複合年成長率達 67%。
這些數字背後,是一個正在崩塌的事實。全球支付與身分驗證體系從來沒有為「非人類發起的合法交易」做過設計。傳統的 KYC(Know Your Customer) 與 KYB(Know Your Business) 框架,完全建立在「所有交易最終都由人類發起」的前提上。當 AI 代理人開始以每秒數千次的速度自主刷卡,這個前提已經失效。KYA 就是這個信任架構重建工程的核心。
第一個崩塌點在前線。傳統反詐欺系統建立在「區分人類與機器」的二元假設上,只要偵測到非人類滑鼠軌跡或高頻存取就直接攔截。當消費者主動授權 AI 助理跨多個電商平台比價下單,這些代理人產生的流量本質合法,卻被反詐欺系統視為憑證填充攻擊予以阻擋。代理人商務若無法穿越這道盲目封鎖,根本無從規模化。
第二個崩塌點在問責。OpenAI、Anthropic 等中心化平台內部尚有強制控制權,跨出邊界進入 A2A(Agent-to-Agent)互通環境後,問責機制全面斷裂。當代理人代表企業執行高頻交易、發起欺詐性採購,甚至參與洗錢網路,監管機構難以追溯背後真實的人類操作者。受制裁實體已開始利用代理人作為演算法白手套,繞過傳統制裁名單篩查。
第三個崩塌點在資金安全。OWASP 在最新的 AI 安全指南中正式定義了一種新型攻擊:Denial of Wallet,錢包阻斷攻擊。攻擊者透過提示詞注入,誘使代理人陷入無法求解的遞迴邏輯迴圈,以毫秒級速度不斷呼叫付費 API、配置雲端運算資源。在「依使用量付費」的 API 經濟下,幾分鐘內就能為企業堆出五位數美元的鉅額帳單。傳統資安系統完全沒有為這種「合法身分發起的自殘攻擊」設計過防禦機制。
把這三個崩塌點放在一起,結論變得很直接。當網路上的非人類流量開始佔據主導地位,整個建立在「人類在場」假設上的數位信任架構正在失效。從 Visa、Mastercard 到 Google、AWS、以太坊社群,主要玩家正在搶占 KYA 標準的制高點。這場標準競賽的勝負,將決定未來兆元級代理人商務的信任基礎設施由誰主導。
KYA 是什麼?與 KYC、KYB 的差異與演進
要理解 KYA 的位置,需要先回到傳統金融體系的信任建構邏輯。
過去三十年,全球金融業的合規骨幹建立在兩個英文縮寫上:KYC(Know Your Customer)與 KYB(Know Your Business)。前者驗證個人客戶的真實身分與活體狀態,後者擴展到企業實體的合法性與最終受益人。兩者的設計前提一致,所有交易與數位互動最終都由具備法律人格的人類或企業實體發起。這個前提撐起了反洗錢(AML)、打擊資恐(CFT)的整套監理框架。
代理人經濟正在打破這個前提。當人類把旅行預訂、端到端採購、供應鏈管理、企業資金調度大量委託給 AI 代理人,網路上的非人類流量開始佔據主流。代理人不再是被動執行指令的工具,具備推理、規劃、協商與自主交易能力,成為獨立的經濟參與者。
KYA 是這個轉變下的必然產物。其核心定義是識別、驗證並管理 AI 系統、機器人及其他自主性非人類行為者的身分,將這些自動化系統與經過驗證的所有者(人類或企業實體)以及可執行的控制機制進行密碼學綁定。
KYA 與 KYC、KYB 的關係是延伸,不是替換。
這張表突顯了一個關鍵差異。KYA 不是單一時間點的註冊審查,而是貫穿代理人整個生命週期的持續性信任層。從開發者初始註冊、運行時存取請求、意圖擷取,直到最終支付執行,KYA 全程提供評估與監控代理人行為是否符合原始授權範圍的動態標準。
驅動 KYA 進入主流的力量,來自三個結構性變革。
第一是防禦哲學的翻轉。過去二十年,網路安全的設計目標是「阻擋機器人」,只要偵測到非人類流量就予以封鎖。當代理人商務興起,這套邏輯反而成為阻礙合法交易的絆腳石。新一代身分與防欺詐堆疊的核心任務,從「是否偵測到機器人」轉變為「如何區分經過授權的好機器人與意圖惡意的壞機器人」。KYA 提供類似人類背景調查的機制,在代理人與平台互動前,預先驗證其密碼學身分、委託來源與存取目的。
第二是 A2A 環境的問責真空。在單一中心化平台內部,平台已掌握使用者 KYC 資料並擁有系統級控制權,KYA 的迫切性相對較低。當代理人跨越平台邊界,進入互通的 A2A 環境、DeFi 協議或第三方商家網路,責任歸屬出現巨大斷層。透過 KYA 機制,每一次自動化行動都被強制要求與一個經過驗證的真實人類或組織進行「人類綁定」(Human Binding),從技術層面確保所有行為皆可追溯。
第三是錢包阻斷攻擊的實質威脅。OWASP 將這種攻擊命名為 Agentic Resource Exhaustion,核心機制是惡意行為者透過提示詞注入,誘使代理人進入無法求解的遞迴邏輯迴圈。緩解這類災難的關鍵在於為每一個代理人會話分配具備短效期且權限受限的臨時身分,結合預算上限的服務主體設定與嚴格的速率限制。
全球數位金融組織(GDF)在 2025 年年度報告中明確指出,為了維持未來數位金融生態的安全,產業界必須從「隱含的驗證」全面轉向「明確的密碼學驗證」。這句話讓 KYA 從可選項升級為基礎設施層級的剛需。
AI 代理人支付的核心矛盾:IMF 三層框架解析
國際貨幣基金組織(IMF)在 2026 年第 004 號深度報告《代理人 AI 將如何重塑支付》(How Agentic AI Will Reshape Payments)中,精確點出代理人介入資金流動所引發的根本矛盾。
矛盾的第一層在系統架構。代理人 AI 系統具備「非確定性」(Non-deterministic)的特質。即使給予完全相同的輸入指令,由於底層大型語言模型的概率本質,系統可能產生截然不同的輸出決策,甚至出現捏造事實的「幻覺」現象。新一代模型的幻覺率雖已大幅降低,但在涉及資金轉移的支付脈絡中,任何微小偏差都不可接受。
對照之下,全球金融與支付基礎設施(從 Swift 到各國的即時清算系統)的設計邏輯極度「確定性」(Deterministic),講求結算最終性(Settlement Finality)。傳統授權機制如雙因素驗證、3D Secure,完全建立在「人類使用者在交易當下進行明確批准」的基礎上。
矛盾的第二層在速率。代理人以每秒數千次的頻率自主發起微型支付或跨國採購,要求人類逐筆介入的授權框架完全跟不上。這不只是延遲問題,而是整個摩擦結構與代理人運行邏輯的不相容。
IMF 的解方是把支付生命週期解構為三層,並在每一層分別嵌入 KYA 緩解策略。
第一層是意圖層的行為分離。架構上嚴格將代理人的「決策制定與推理」過程,與實際的「資金執行」過程切開。代理人可以自主分析市場、比價、擬定採購計畫,但要把意圖轉化為支付指令前,必須通過身分層校驗。這層的關鍵在於禁止代理人在同一個信任邊界內,既做決策又動資金。
第二層是授權層的合規過濾。傳統金融的反詐欺模型依賴人類行為模式分析,在代理人經濟中完全失效。Mastercard 的「決策智能」(Decision Intelligence)系統提供了對應方案,在毫秒內評估代理人當下的脈絡風險、驗證 KYA 身分,確保該代理人未牽涉制裁名單或違反企業政策。
第三層是結算層的可程式化控制。透過 KYA,發卡機構或數位錢包供應商可以將代理人的明確權限、單筆與累積支出限制、安全護欄與交易條件,直接編碼進入可程式化的數位貨幣或智慧錢包。這種機制確保即使代理人發生幻覺,引發的資金損失也被嚴格限制在預先設定的密碼學邊界內。
資料來源:IMF Note 2026/004
這個三層框架翻轉了傳統加密貨幣網路「先結算,後問問題」(Settle first, ask questions later)的風險模式。透過將 KYA 基礎設施與分散式帳本技術結合,支付網路能在交易打包上鏈或授權前,即刻確認代理人身分及其背後的委託權限,平衡代理人高速自動化效率與嚴格金融合規標準。
KYA 標準競賽:五大協定陣營完整比較
為了搶占代理人商務市場,全球的支付巨頭、雲端服務商、Web3 基礎設施開發者與傳統身分驗證機構,正展開一場激烈的「基礎設施標準競賽」。各方從不同的技術層級出發,提出各具特色的 KYA 協定。
理解這場競賽的關鍵,在於先看清楚每個陣營佈局的層級。Visa 站在 HTTP 傳輸層,Mastercard 深耕憑證代碼層,Google 聚焦意圖授權層,AWS+Coinbase+Stripe 整合雲端與加密原生支付層,以太坊社群推動鏈上去中心化身分層。這些不是互斥替代品,而是彼此互補的堆疊組件。
Visa TAP(Trusted Agent Protocol):HTTP 簽章層的標竿
Visa 在 2025 年 10 月與 Cloudflare、Worldpay 合作推出「信任代理人協定」(Trusted Agent Protocol, TAP),Akamai、Microsoft、Shopify、Stripe、Adyen、Checkout.com、Fiserv、Nuvei 等業者陸續加入。TAP 是一個開源訊息標準,底層完整實作 IETF RFC 9421(HTTP 訊息簽章)規範。
TAP 提供三層驗證架構。第一層是代理人識別,代理人利用 Ed25519 或 RSA-PSS-SHA256 演算法對 HTTP 請求進行簽章,商家透過 Visa 營運的公開金鑰目錄進行驗證。網域綁定機制確保簽章中的 @authority 元件與請求的主機標頭一致,徹底杜絕跨站簽章竊取(Cross-site signature theft)。
第二層是消費者識別,利用 JSON Web Token(JWT)作為 ID 權杖,證明授權該代理人行事的人類消費者身分,並界定委託的權限範圍與設備地理位置脈絡。第三層是支付容器,傳遞執行交易所需的具體支付細節,可以是傳統卡片代碼、穩定幣地址,也可以是去中心化結算識別碼。
TAP 的設計哲學在於極高的相容性。它不是一套新的資金轉移網路,而是一個覆蓋於現有支付軌道之上的身分包裝層(Identity Wrapper)。商家無需採購特定的代理人收銀系統,只需透過現有 HTTP 基礎設施,即可在代理人發起交易前以密碼學方式驗證合法性。原本繁重的旅行規則(Travel Rule)與合規檢查,可以無縫嵌入交易流程中。對既有商家而言,Visa 提供的是「最小擾動」的升級路徑。
Mastercard Agent Pay 與 Agentic Tokens:歸因機制創新
相對於 Visa 聚焦 HTTP 網路層,Mastercard 的「Agent Pay」計畫深耕憑證與網路代碼化層。Mastercard 將其廣泛應用於行動錢包(如 Apple Pay)的數位賦能服務(MDES)進行升級,推出專為 AI 代理人設計的「代理人代碼」(Mastercard Agentic Tokens)。
當消費者授權 AI 代理人進行跨國採購或訂閱管理時,代理人獲得的是一組受嚴格參數限制的代碼化憑證,而非真實信用卡號。這些代碼支援數位安全遠端支付(DSRP)與動態代碼驗證碼(DTVC),在不支援增強型代碼數據的舊型商家端,也能維持高度安全相容性。
Mastercard 架構最具革命性的特點,在於強大的「爭議處理與歸因機制」(Dispute Routing & Attribution)。每一個代碼都嵌入了特定代理人的數位服務提供者 ID 與商業解決方案指示符。發生惡意拒絕付款或退款糾紛時,Mastercard 網路能夠精準鎖定並標記發起該交易的特定 AI 代理人。發卡行可以單獨封鎖該代理人權限,而不需要凍結持卡人底層的實體帳戶。
這項歸因能力是 Mastercard 在 2025 年持續推進代理人商務基礎設施的核心。Mastercard 在 2025 年 4 月發表 Agent Pay 與 Agentic Tokens,9 月擴充 Agent Toolkit、Agent Sign-Up、Insight Tokens 等開發者工具(透過 Model Context Protocol 伺服器讓 Claude、Cursor、GitHub Copilot 可以存取 API),10 月發表 Agent Pay Acceptance Framework,2026 年再與 Google 合作推出 Verifiable Intent。為了擴大規模,Mastercard 已與微軟(Azure OpenAI、Copilot Studio)、IBM(watsonx Orchestrate)及 Checkout.com 展開深度整合,把 KYA 的信任框架直接嵌入企業級與消費級的 AI 工作流。
Visa 與 Mastercard 之間的對照值得深思。Visa 的選擇是相容,Mastercard 的選擇是顆粒度。前者讓既有玩家最低成本接入,後者讓問責歸屬精確到單一代理人。
Google AP2(Agentic Payments Protocol):三層授權書架構
Google 的切入點不在傳輸層,也不在憑證層,而在問題的源頭。確保交易請求確實反映人類真實意圖,而非 AI 的幻覺或演算法暴走。為此 Google 提出「代理人性支付協定」(Agentic Payments Protocol, AP2),專注於使用者意圖捕捉與密碼學授權。
AP2 建構了一個由四個不同角色代理人協同運作的生態系。購物代理人負責與人類使用者互動,捕捉購買意圖並傳遞給商家代理人。商家代理人分析顧客意圖,根據商家即時目錄庫存提供匹配的產品報價與條款。憑證提供者代理人管理使用者數位錢包,在安全前提下共享促進支付所需的密碼學權杖。支付處理代理人與底層支付網路(如 Mastercard 或 PayPal)對接,完成資金最終結算。
為了在這些代理人間建立無懈可擊的信任鏈,AP2 大量採用 W3C 的「可驗證憑證」(Verifiable Credentials, VCs)技術,並發展出三種不同層級的授權書(Mandates):
透過多層次授權設計,AP2 不只解決了授權真實性問題,也回答了「當代理人購買出錯時,責任歸屬究竟在使用者、開發者還是商家」的問責難題。每一筆交易都留下清晰可審計的密碼學證據軌跡。
AWS Bedrock AgentCore + x402 + KYAPay:雲端 KYA 整合方案
代理人之間(M2M)極高頻率且金額微小的支付需求,傳統信用卡網路的高昂手續費與結算延遲完全無法勝任。Coinbase 與 Cloudflare 等機構聯合推動 x402 協定,巧妙復興了網際網路早期的 HTTP 402(Payment Required)狀態碼,實現直接基於 HTTP 的即時穩定幣微型支付。
x402 支援所有 EVM 兼容鏈及 Solana 網路,允許機器客戶端透過 CAIP-2 網路識別碼與 EIP-3009 代幣標準(如 USDC),在無需建立帳戶、無需維持複雜連線狀態的情況下,以程式化方式支付 API 存取費用。
這個願景在 2026 年 5 月 7 日迎來決定性里程碑。亞馬遜雲端運算服務(AWS)聯合 Coinbase 與 Stripe,正式發表「Amazon Bedrock AgentCore Payments」企業級基礎設施。這項服務將 x402 的底層支付管道深度整合進 AWS 的模型建構平台。開發人員能為其建構的 AI 代理人直接綁定 Coinbase 的 CDP 錢包或 Stripe 收購的 Privy 密碼貨幣錢包,並以法定貨幣或穩定幣注入資金。
AgentCore 的開發者體驗值得特別說明。透過統一介面,開發者無需深入了解底層的區塊鏈通訊協定,即可設定會話級別(Session-level)的預算限制與支出控制。結算過程在 Base 網路上僅需約 200 毫秒即可完成,單筆交易成本不到一美分。這讓 AWS 上的 AI 代理人能即時自主存取數千個支援 x402 的端點(包含 Exa、Messari、Browserbase 等資料與運算服務商),不會中斷其內部推理循環(Reasoning loop)。Warner Bros. Discovery 已開始試點測試,評估代理人主導的優質內容(如體育賽事直播)交易場景。
在同一生態系中,由 Skyfire 推出的 KYAPay 協定進一步增強了 x402 的身分表達能力。KYAPay 已於 2026 年 3 月提交 IETF Internet-Draft(draft-skyfire-kyapayprofile-01),提供開放標準。透過發行包含 JWT 的特定代幣(如 kya+jwt 或 kya+pay+JWT),讓開發者與買賣雙方能以標準化方式宣告身分、運行平台及所代表的使用者意圖。KYAPay 嚴格要求驗證發行者(iss)的簽章與效期(exp),結合 OAuth 機制,確保包含潛在敏感個人或企業資訊的憑證,僅在合法參與者之間共享。
這個堆疊的價值在於完整性。開發者拿到的是「身分(KYAPay)+ 支付(x402)+ 託管(AgentCore)」的一站式解決方案,而非各買各的零件再自己拼裝。
ERC-8004 標準:去中心化代理人身分註冊表
在 Web3 與開放網路環境中,依賴單一中心化機構頒發身分憑證,有悖於去中心化的核心精神。以太坊社群推動 ERC-8004 草案,技術貢獻者來自 MetaMask、Ethereum Foundation、Google、Coinbase 等機構。這是一套專為 AI 代理人設計的鏈上身分、聲譽與密碼學驗證標準,目標是建立免信任(Trustless)、抗審查的代理人經濟協調層。
ERC-8004 與代表資產或經濟價值的傳統 ERC-20 代幣不同,它本質上不具可交易價值,核心價值在於「協調與信任」。標準定義了三個相互操作且輕量級的單例(Singleton)鏈上註冊表,讓代理人能在跨組織、跨區塊鏈的邊界中互相發現與評估。
第一個是身分註冊表(Identity Registry),基於 ERC-721 NFT 標準擴展。每個代理人獲分配全域唯一的識別碼,格式為 {namespace}:{chainId}:{identityRegistry} 加上遞增的 tokenId。代理人的註冊資料(AgentURI)連結至包含名稱、端點(如 Web、MCP 通訊協定、ENS 或 DID)以及能力聲明的元資料檔。
元資料中包含一個保留的 agentWallet 欄位,用於指定支付地址。要設定此地址,擁有者必須透過 EIP-712 或 ERC-1271 提供密碼學簽章證明控制權。一旦該代表身分的 NFT 被轉移至新擁有者,該錢包地址欄位會自動清除,強制重新驗證,確保資金流向絕對安全。
第二個是聲譽註冊表(Reputation Registry),這是去中心化的公開計分板,允許任何非該代理人擁有者的客戶端地址提供歷史表現回饋。
第三個是驗證註冊表(Validation Registry),針對不同風險等級的任務提供可插拔的信任模型(Pluggable Trust Models)。低風險任務(如訂購餐點)可直接依賴上述聲譽分數;高風險、高價值操作(如醫療診斷推論或巨額資產轉移),驗證註冊表可觸發更強大的機制,例如要求區塊鏈驗證者進行權益質押(Staking)擔保的重新執行、提供零知識機器學習(zkML)的推論正確性證明,或依賴可信執行環境(TEE)的硬體級預言機證明。
透過結合 x402 支付協定與 Anthropic 提出的模型脈絡協定(MCP),ERC-8004 讓代理人擺脫對單一開發平台的鎖定(Platform Lock-in)。代理人能自主地在去中心化網路中發現其他代理人、查詢歷史聲譽、密碼學驗證任務結果,最終執行支付結算,完成真正的無人工干預協調。
ERC-8004 的政治選擇相當清楚。它不接受 Visa 或 Google 作為信任的單一頒發者,而選擇用鏈上的共識機制與密碼學證明取而代之。
身分驗證老兵的轉型
傳統身分驗證(IDV)產業並未在這場標準競賽中缺席,反而以「補完者」的角色積極佈局。
Sumsub 強調「人類綁定」(Human Binding)的概念。多數系統目前只專注於驗證機器身分,即代理人如何在系統中進行技術層面驗證與授權。完整的 KYA 必須透過「人類委託認證」(Human-Delegated Authentication),把問責制建立在一個真實、經過驗證的人類或組織之上。對於修改帳戶或大額匯款等高風險操作,Sumsub 系統會觸發人類活體檢測(Liveness Check)等機制,確保操作確實獲得源頭授權,防範深度偽造攻擊。
Persona 與 AstraSync 合作建構專注於代理人商務的 KYA 基礎設施。Persona 將 KYA 描述為一個涵蓋五方參與者的擴展信任框架,這五方包括創建代理人的開發者、擁有代理人的組織實體、代理人自身、運行時下達指令的實體,以及進行交易的對手方。這種視角確保代理人從註冊、存取請求到意圖擷取的每個環節,都能建立透明的信任節點。
Vouched 推出「Agent Checkpoint」套件,利用 OAuth 提供精確委託、具法律約束力的明確授權以及瞬間的權限撤銷能力,並保留完整合規審計軌跡,應對企業 B2B 環境中的新興詐欺威脅。Beltic 從隱私保護切入,採用預設的零知識證明(Zero-Knowledge Proofs)技術,讓平台在驗證代理人是否符合跨 200 多個司法管轄區反洗錢、制裁名單篩查等合規要求的同時,完全不暴露底層委託人的個人敏感資料,契合歐盟 GDPR 等嚴格的資料保護法規。
這四家業者的共同特點在於,沒有試圖取代 Visa 或 Mastercard 的協定,而是把自己定位為支付協定底下的「身分校驗即服務」。在 KYA 生態中,他們扮演的角色類似於 Auth0 之於應用程式登入。
五大 KYA 協定技術比較與動態分層信任模型
要看清楚這場標準競賽的全貌,把五大陣營放在同一張比較表上會更有幫助。
這張表會給人一種誤解,以為這五個協定是替代關係。實際上它們在堆疊中相互嵌套的可能性很高。
舉例來說,一個企業級 AI 代理人完全可能同時使用四個協定的不同部分:用 ERC-8004 在以太坊主網註冊全域唯一身分、用 Visa TAP 對 HTTP 請求進行密碼學簽章、把 Mastercard Agentic Token 嵌入支付容器、用 Google AP2 的 Cart Mandate 取得人類確認。這種堆疊不是技術上的奢侈,而是面對不同場景所需信任強度的自然結果。
這指向一個更核心的概念:動態分層信任模型(Dynamic Tiered Trust Modeling)。
傳統 KYC 是一種靜態二元狀態,要嘛通過驗證,要嘛沒通過。代理人經濟中,任務的複雜度與潛在風險差異巨大,需要的驗證強度也差異巨大。ERC-8004 與 Sumsub 的實踐都在指向同一個方向,即依風險比例動態調整。
當代理人僅是代為訂購披薩或查詢天氣,系統只需檢驗基礎 KYA 身分與過往鏈上聲譽分數,屬於低摩擦驗證。當同一個代理人試圖代表企業執行高達數百萬美元的跨境資金調度,或進行涉及人類生命安全的醫療診斷推論,系統會動態調升驗證門檻。這時可能觸發要求區塊鏈驗證節點提供高成本的 zkML 正確性證明、要求調用硬體級的 TEE 預言機,甚至強制中斷自動化流程,要求底層人類委託人進行生物特徵活體認證。
這種流動的權限管理機制,讓代理人自動化效率與安全底線可以共存。它也意味著未來的 KYA 不會是一個單一服務商通吃,而是一個多協定堆疊、多風險等級調用的複雜信任市場。
KYA 監管框架:IMDA、EU AI Act 與學術理論
產業技術的快速推進如果缺少法制與理論護欄,很容易演變為失序狂奔。這個底線目前由三個來源共同建構,分別是新加坡的具體治理框架、歐盟的強制法律要求,以及頂尖學府的理論奠基。
新加坡 IMDA 的代理人 AI 治理框架
新加坡再次展現其在 AI 治理領域的前瞻性。2026 年 1 月 22 日,新加坡資訊通信媒體發展局(IMDA)由數位發展與資訊部部長 Josephine Teo 在 Davos 世界經濟論壇正式發表全球首份專為具備自主規劃與行動能力的 AI 代理人所設計的《代理人 AI 模型治理框架》(Model AI Governance Framework for Agentic AI, MGF)。
MGF 為尋求進入市場的企業提供高度操作性的指導方針,依循四個核心維度建構風險防禦體系。
第一是事前評估與界定風險。框架要求企業在部署前進行嚴謹的用例評估,評估標準取決於該領域對錯誤的容忍度、資料敏感性以及操作的不可逆性。更重要的是,必須透過設計來「界定」風險,例如限制代理人能存取的工具數量、嚴格規範其權限範圍(Action-space),確保代理人僅在最低限度的必要環境中運行。
第二是確保人類有意義的問責制。由於代理人的高度自主性,傳統責任歸屬極易被模糊化。框架強調組織結構必須在開發者、部署者、營運商與終端使用者之間劃分清晰的責任邊界。同時必須建立能有效覆寫、攔截或審查代理人行動的人類監督機制,避免自動化偏見(Automation bias)。
第三是實施技術控制與流程,把防護機制深深嵌入代理人的生命週期。具體措施包括實施嚴格的代理人身分管理(為每個代理人分配唯一識別碼並連結至人類主管)、設定中斷失控代理人的強制終止機制,以及針對不同的多代理人協作架構設計相應的標準作業程序。
第四是賦能終端使用者的責任。透明度的重要性必須被強調,使用者必須明確知悉他們正在與代理人互動,了解代理人的授權行為與資料處理慣例,並擁有便捷的人類客服升級管道(Human escalation points)。
為了協助企業落實原則,新加坡政府整合了「AI Verify」軟體測試工具包(AIVT)。該工具包涵蓋透明度、安全性、穩健性與公平性等 11 項國際認可的治理原則,並與金融業的 FEAT 原則及消費者保護指標相結合,把抽象政策條文轉化為具體的測試指標、流程檢驗與合規證據收集,協助企業順利通過外部審計。
歐盟 AI Act 的強制日誌記錄
相對於新加坡的指導性框架,歐盟《人工智慧法案》(EU AI Act)透過具有強大法律約束力的條文,間接確立 KYA 的底層技術強制標準。
根據該法案第 12、13、19 及 26 條規定,高風險 AI 系統(包含執行關鍵決策或處理敏感資料的代理人)的供應商與部署者,必須確保系統能夠自動生成並保留運作日誌,且保存期限至少為六個月至十年不等(視所屬產業如金融業的特定法規而定)。
代理人經濟脈絡下,單純記錄純文字日誌已無法滿足法規對於可追溯性與防篡改的要求。業界為遵循法案,逐漸形成一套基於「可驗證收據鏈」(Verifiable receipt chains)的技術共識。要求代理人的每一次行動都必須使用獨立於代理人信任邊界之外的加密金鑰進行簽章,每一個簽章與前一個相鏈結,儲存在代理人無法觸及的獨立環境中。一旦記錄遭到篡改,整個密碼學鏈條便會斷裂。
這種機制本質上就是在執行最嚴格的 KYA 身分歸因與行為稽核,確保發生系統性損害時,監管機構擁有不可磨滅的法醫學證據追究營運商或開發者責任。
學術理論的奠基
監管政策的推行獲得了學術理論的強而有力支持。麻省理工學院、史丹佛大學與哈佛大學的頂尖研究團隊(Chan et al., 2025)發表具指標意義的論文《基礎設施與 AI 代理人》(Infrastructure for AI Agents)。
該研究指出,過去的 AI 安全研究過度專注於修改模型本身的權重或進行對齊微調(System-level interventions)。要確保複雜代理人系統的安全,必須在代理人外部建立強大的共享基礎設施。
研究將代理人基礎設施的必備功能劃分為三大支柱。歸因(Attribution)建立身分綁定與 Agent ID 機制,把代理人的行動、屬性與能力特徵精確歸因於特定使用者或其他行為者,研究團隊甚至提議使用類似機器學習領域「模型卡」(Model Cards)的「代理人卡片」(Agent Cards),標準化揭露代理人的用途、效能限制與倫理考量。互動透過建立專屬的「代理人通道」(Agent Channels),把高頻代理人流量與一般人類流量在網路拓樸上進行實體或邏輯隔離,並利用承諾機制(Commitment devices)與跨代理人通訊協定,約束多代理人協作。回應為應對代理人災難性失誤,建立監督層與回滾機制。
這項研究替 KYA 架構提供了堅實的理論依據。KYA 不只是金融領域的合規工具,更是維持整個網際網路與社會基礎設施穩定運作的交通號誌與安全護欄。
KYA 落地挑戰與 2026-2030 未來展望
面對標準競賽的熱潮,有三個結構性問題還沒有完全得到解答。
第一個問題是標準互通性。Visa、Mastercard、Google、AWS、以太坊各自推動的協定,雖然在技術層級上可以堆疊,但實務上的整合複雜度仍然極高。一個 SaaS 業者要支援所有主流協定,需要面對五套不同的金鑰管理、五套不同的撤銷機制、五套不同的合規檢查介面。沒有頂層的整合協定出現,中型業者的接入成本可能高到讓 KYA 落地速度低於預期。
第二個問題是隱私與合規的張力。歐盟 AI Act 要求保留完整可追溯日誌六個月至十年,但 GDPR 同時要求最小化資料蒐集。Beltic 採用的零知識證明是一種解法,但在跨境支付場景中,執法單位調閱日誌的需求與委託人的隱私訴求,仍然存在實質衝突。這個衝突不會單靠技術解決,需要立法層級的進一步釐清。
第三個問題是跨國司法管轄差異。代理人在數秒內可以發起跨越十個司法管轄區的微型支付,每個司法管轄區對 KYA 的監管要求都不一樣。新加坡採取指導性框架、歐盟採取強制日誌、美國目前以產業自律為主、中國則傾向集中式登記。當代理人經濟全面跨境化,業者面對的是「最嚴格司法管轄區的最低標準」會決定產品設計這種倒置局面。
短期(1-2 年)內,可以預期的發展集中在支付巨頭規格戰與雲端平台預設整合。Visa TAP、Mastercard Agent Pay、Google AP2 將進入正面競爭,各自爭取早期採用者。AWS、Azure、Google Cloud 會把 KYA 服務深度嵌入其代理人開發平台,讓開發者「預設啟用」而非「另外選購」。
中期(3-5 年)的關鍵變化在於動態分層信任模型成為主流。低風險場景採用輕量級鏈上聲譽驗證,高風險場景觸發 zkML 或 TEE 級別證明,這種分層調用將從理論落地為主流商業實作。同時,KYA 將成為 VASP(虛擬資產服務提供商)、發卡機構、雲端服務商獲得監管牌照的前提條件。
長期(5 年以上),代理人經濟的「架構性解綁」會基本完成。電商平台的戰場將從「優化人類視覺介面」轉向「建立最高效、最穩定的代理人通訊端點與議價協定」。今天看起來理所當然的網頁設計、結帳流程,可能會像今天的傳真機操作介面一樣被淘汰。
二階效應更值得關注。如同 2019 年防制洗錢金融行動工作組織針對虛擬資產服務提供商實施的「轉帳規定」(Travel Rule),在短短幾年內重塑整個加密貨幣產業的版圖,淘汰大量缺乏合規能力的交易所。KYA 基礎設施的整備度,也將成為決定下一波科技企業生死的關鍵過濾器。
無法整合 KYA 協定、缺乏能力區分授權機器人與惡意流量的平台,將面臨雙重打擊。一方面因為無法抵禦錢包阻斷攻擊而承受巨額 API 營運虧損與系統癱瘓;另一方面因為無法滿足歐盟或新加坡等日益嚴苛的法規對行為溯源與問責的要求,面臨天價罰單或被迫退出市場。建構 KYA 能力,將從單純的「資安防護支出」,轉變為企業在代理人經濟時代獲取信任、拓展商機的核心競爭資產。
馬克碎念
過去三十年的數位轉型,我們把貨幣數位化(從紙鈔到信用卡到行動支付)、把合約智能化(從紙本契約到智能合約)、把身分網路化(從證件到 ID 權杖)。這些都還是把實體世界的東西「映射」到數位世界。KYA 在做的事情更深一層。它把「相信」這個原本只存在於人與人關係中的抽象詞彙,翻譯成一系列可以被密碼學驗證、可以被回滾、可以被歸因的具體物件。當馬克看到 ERC-8004 把代理人聲譽變成可以鏈上比對的 successRate 數字,把驗證強度變成可插拔的 zkML 證明,意識到這是繼貨幣與合約之後,「信任」這項社會基礎設施第一次真正物理化。這個轉變的長期影響,可能會比 ChatGPT 帶來的衝擊更深遠。
歷史上,做基礎設施的人通常拿走最大的價值。VISA 在 1970 年代沒有發明信用卡,但發明了卡片授權的網路標準,結果今天每筆刷卡都要繳費給它。TCP/IP 不是最強的網路協定,但它在合適的時間被嵌入 Unix 系統,結果壟斷整個網際網路。SWIFT 的訊息格式技術上落後現在所有支付協定二十年,但因為它已經是預設,全球銀行至今很難擺脫。看 KYA 的標準競賽時,馬克最關注的不是哪個協定技術最先進,而是哪一個最先被「預設嵌入」雲端服務、發卡網路與開發者工具鏈。AWS Bedrock AgentCore 把 x402 變成預設選項的那一刻,影響可能遠超過 ERC-8004 在技術上更純粹這件事。預設權,通常就是終局。
代理人經濟最迷人也最危險的地方,在於它把人類從支付決策的迴圈中「結構性地移除」。我們習慣的安全感,某種來源是「最後我會看到那個確認按鈕」。當 KYA 成熟到一個程度,使用者只需要在早晨對代理人說一句話,接下來幾百筆交易都不會經過人類意識,失去的不只是控制感,還有一種更原始的「事情正在發生而我在場」的存在感。這是 KYA 設計者必須回答的問題:在效率與在場感之間,人類社會的最低底線在哪裡?動態分層信任是一種解法,本質上仍然是「在大多數時候把人移開,只在關鍵時刻把人拉回來」。長期而言,這種設計會不會反過來訓練我們失去判斷力,只在系統提醒時才會醒過來?這個問題目前沒有人能完整回答,但每一個正在部署 KYA 的決策者,都應該把它放在心裡反覆掂量。
常見問題
KYA 是什麼?
代理人身分驗證(Know Your Agent, KYA)是一套涵蓋身分識別、權限控制與行為稽核的信任框架,用來驗證 AI 代理人、機器人與其他自主性非人類行為者的真實身分,並將代理人的每一個行動,密碼學地綁定到一個經過 KYC 或 KYB 驗證的人類或企業實體。KYA 不是單一時間點的審查,而是貫穿代理人整個生命週期的持續性驗證機制。
KYA 和 KYC、KYB 有什麼差別?
三者的核心差異在於驗證對象。KYC(Know Your Customer)驗證個人消費者的真實身分;KYB(Know Your Business)驗證企業實體的合法性與最終受益人;KYA(Know Your Agent)則驗證軟體代理人本身,並把代理人的所有行為連結到背後的人類或企業。簡單說,KYA 是 KYC 與 KYB 在代理人經濟下的延伸,不是替換。
為什麼 AI 代理人需要 KYA?
主要有三個原因。第一,傳統反詐欺系統會把所有非人類流量視為攻擊予以攔截,合法的代理人商務無法穿透;第二,當代理人在 A2A(Agent-to-Agent)環境中跨平台互動,問責機制完全斷裂,監管難以追溯;第三,惡意行為者可以透過提示詞注入觸發「錢包阻斷攻擊」(Denial of Wallet),在幾分鐘內為企業堆出五位數美元的 API 帳單。KYA 同時解決這三個問題。
目前主要的 KYA 標準有哪些?
全球目前有五大主流 KYA 協定陣營:Visa Trusted Agent Protocol(TAP)位於 HTTP 傳輸層、Mastercard Agent Pay 深耕憑證代碼層、Google AP2 聚焦意圖授權層、AWS Bedrock AgentCore 結合 Coinbase x402 整合雲端與加密原生支付層、以太坊社群推動的 ERC-8004 主打鏈上去中心化身分。這五個協定不是互斥替代,實際應用中可以堆疊嵌套使用。
什麼是 Denial of Wallet 攻擊?
Denial of Wallet(DoW,錢包阻斷攻擊)是 OWASP 在 AI 安全指南中正式定義的新型攻擊。攻擊者透過提示詞注入,誘使 AI 代理人陷入無法求解的遞迴邏輯迴圈,以毫秒級速度不斷呼叫付費 API 或配置雲端運算資源。在「依使用量付費」的 API 經濟下,攻擊可在數分鐘內為受害企業帶來鉅額帳單。KYA 可以透過為每個代理人會話分配短效權限與預算上限來緩解這類攻擊。
代理人經濟的市場規模有多大?
世界經濟論壇(WEF)預測,到 2034 年全球 AI 代理人市場規模將達 2,360 億美元,2024 年基數為 54 億美元。PwC「Sizing the Prize」報告推估人工智慧到 2030 年將為全球 GDP 貢獻達 15.7 兆美元。PYMNTS 2025 年報告則預測代理人驅動的數位商務(agentic commerce)到 2030 年達到 1.7 兆美元規模,複合年成長率 67%。這個成長速度讓 KYA 從可選項升級為基礎設施層級的剛需。
延伸閱讀: