本报告由 撰写。AI智能体已经能自己签合同、自己付款、自己做交易。但有个问题没解决:你怎么知道对面那个智能体到底是谁?这篇文章梳理KYA标准之争里四个玩家的不同打法,以及监管已经走到哪一步。
核心要点
- AI智能体进入自主执行合约、支付和交易的时代,但市场上还没有统一的标准来验证身份。在A2A(智能体对智能体)场景下,KYA开始比KYC更受关注。
- KYA不是处处都需要。在Google、OpenAI、Coinbase这种中心化平台内部,现有的KYC就够了。真正需要KYA的,是独立部署的智能体接入DEX、A2A支付、商户支付的时候。
- 标准之争已经开始。ERC-8004、Visa TAP、Trulioo、Sumsub分别从链上、支付网络、合规认证、风险检测四个方向切入,路径完全不同。
- 监管已经动了。欧盟AI法案、美国NIST、新加坡国家级框架都把智能体身份管理列为优先项。2019年FATF旅行规则决定了哪些加密交易所活下来,KYA这次大概率剧本重演。
1. 为什么是现在
KYC重塑了金融的那一层
B安/欧意/大门交易所永久入口:点击进入加密货币的世界
1989年之前,全球金融没有统一的身份标准。这个空白让毒资和黑钱很难被追到源头。直到那年FATF成立,KYC才成为金融业的硬性要求,把非法资金挡在了门外。
之后三十年,KYC的影响一层一层扩展。2001年911之后加上反恐融资条款,美国《爱国者法案》把KYC升为法定义务。2010年代欧盟AMLD、巴塞尔协议III、FATCA陆续落地,跨境KYC信息开始自动交换。2019年FATF旅行规则把KYC延伸到虚拟资产服务商。
每一次延伸,都是在补一个空白。
没有智能体身份,系统就在倒退
回到现在。AI智能体不需要人类盯着,自己就能签合同、付款、交易。但没人能验证它是谁。
在A2A环境里,责任归属一片模糊。出了问题找谁,谁也说不清。用户也很容易撞上洗钱和各种花式诈骗。
把1989年之前的金融跟2026年的智能体市场摆在一起看,结构惊人地像。当年是匿名账户在跨境流动,今天是未经验证的智能体在A2A交易。当年验证责任在每家银行各自手里,今天则在每家平台各自手里。共同标准都没有。
这种相似不是巧合,是规律。技术先跑出来了,身份层没跟上。
KYA是什么
KYA(Know Your Agent)是一层信任机制,提前把智能体的来源、权限和责任归属验证清楚。
跳过这一步,三种风险会同时冒出来。第一种是越权交易:用户只授权了支付,智能体却挪动资产、签下范围外的合同。第二种是身份伪造:恶意智能体伪装成合法的,劫持支付、伪造响应、盗用信誉。第三种是责任真空:出事之后,智能体、开发者、委托方互相甩锅,赔偿无从追究。
KYA做的就是把这三件事提前锁住。预先注册和验证权限范围,越权的动作直接拦掉。验证身份和来源,只让合法的智能体进来。每个智能体的来源和委托方都绑定在记录里,出事可以追溯。
2. KYA要在哪里运作
不是哪儿都需要
中心化平台内部其实不太需要KYA。用户做了KYC,平台自己也兜底,整条链路是闭环的。
需要KYA的,是走出平台之后的开放环境。智能体要去对接DEX、做A2A支付、付款给商户。这时候没人兜底,也没人能替它担保。
打个比方。在一个国家内部走动,身份证(KYC)就够用了。一旦跨过国境(出了平台),环境就变了,必须在入境处接受审查(KYA),说清楚来意和可信度。
四步流程
KYA的运作可以拆成四步。前两步是"护照签发":先注册智能体的身份和权限,通过验证之后发数字护照。后两步是"入境审查":交易发生时确认对方身份,再根据交易结果更新记录。
身份不是一次签发就永久有效,而是每次交易重新核对一次。
3. 四个玩家在抢标准
标准之争里目前有四个玩家,路径完全不同。
ERC-8004:把身份做成NFT
ERC-8004走的是纯链上路线。它在ERC-721之上加了一层身份层,每个智能体被铸造一枚NFT作为唯一ID。
配套有三个链上注册表。Identity负责"这个智能体是谁",基于ERC-721的唯一AgentID。Reputation负责"能不能跟它交易",交易完成后在链上留下评分、标签、证据。Validation负责"它有没有真的做了那件事",由第三方验证者通过zkML、TEE等插件来核对。
这种结构在以太坊历史上不是第一次出现。ERC-20标准化了代币发行,USDT、USDC、UNI、AAVE都长在它上面。ERC-721标准化了NFT发行,CryptoPunks、BAYC、ENS撑起了整个NFT市场。ERC-8004要扮演的,是同样位置的第三个标准。
Visa TAP:用支付网络打包
Visa的思路完全不同。它给智能体签发一张身份凭证(Agent Intent),相当于一张卡。没有这把钥匙,智能体连交易都发起不了。Visa预先批准之后才发钥匙,每笔交易都要带签名给商户。
商户收到的不是一个签名,是三个。Agent Intent证明智能体合法,由VIC批准的密钥背书。Consumer Recognition说明它在替谁干活,把用户标识符传给商户。Payment Information提供支付保证,用支付token或者哈希过的卡信息完成认证。
Visa把这套东西放进了一个更大的包,叫Visa Intelligent Commerce(VIC)。里面除了TAP,还有Agent APIs(Visa卡使用时跑的自有技术)、Tokenization(专给AI发的token)、以及Intelligent Commerce Connect(兼容AP2、ACP、x402等竞争协议)。
逻辑很清楚。Visa当年抓住了支付网络的入口,现在想把智能体时代也打包进自己的轨道。如果智能体支付继续走卡网络,而这套包成为默认选项,Visa的份额就稳住了。
Trulioo:把SSL那套搬过来
Trulioo是全球KYC、KYB合规赛道上的玩家,现在把验证栈延伸到了KYA。
它借鉴了网站SSL证书的模式。SSL是CA(Certificate Authority)发TLS证书给网站,验证的只是域名。Trulioo提出的DPA(Digital Passport Authority)则发DAP(Digital Agent Passport)给智能体,验证的是开发者KYB加用户KYC。
DAP不是一张静态证书。它是一个会刷新的活token,每次交易都重新验证。一旦委托被撤回或者检测到异常,DAP立刻作废。
它有五个检查点:Provenance(哪个开发者做的)、User Binding(谁授权的)、Permission Scope(能干哪些活)、Behavior Telemetry(现在在做什么)、Risk Scoring(风险评级)。
银行和金融科技在法律上必须验证人和公司身份。智能体一旦进入金融领域,Trulioo的KYC、KYB位置反而更稳了。
Sumsub:盯异常,不发证
Sumsub的切入点跟前三家都不一样。它不发标准、不发证书,而是在智能体出现异常交易的时候,重新验证背后那个人。
它从2015年就在做合规生意,那套验证系统现在被用来检测智能体的异常行为。流程分三步。先做自动化检测,通过设备和智能体特征区分人和机器。再做风险评分,结合上下文、金额、历史数据给出风险分。最后是Liveness验证,仅在高风险、大金额、关键变更时启动,重新核对登记的真人。
Sumsub的四个特征跟其他玩家形成了鲜明对比。它的起点是合规运营商而不是标准制定者。验证时机是风险交易发生时而不是事先注册。验证方法是真人重新确认而不是数据或token。哲学是把智能体跟责任方绑在一起,而不是直接拦掉智能体。
其他玩家在做事前一次性身份认证,Sumsub在做发证之后的实时验证。智能体权限越扩张,异常检测越关键。诈骗手段跟着技术升级,Sumsub的实时栈值得关注。
4. 在监管落地之前
FATF旅行规则的剧本
2019年FATF旅行规则一出,VASP行业立刻分裂。能扛住KYC、AML基础设施成本的活下来,扛不住的关门或者搬到监管宽松的地方。CryptoBridge、Deribit都在那一波里被迫调整。
监管不是终点,是分水岭。
KYA这次的剧本可能一样。欧盟、新加坡、美国已经在抢领先位置。
欧盟AI法案第12条明确要求,高风险AI系统的行为日志必须包括操作者身份。新加坡发布了全球第一个国家级智能体AI治理框架,把身份管理延伸到智能体身上,要求每个智能体都有可追责的责任方。美国NIST把智能体身份管理列为优先标准领域。
时间窗口正在缩小。
不会有单一赢家
标准之争的真正变量不是技术,是组合。主要玩家已经进入合作和组合阶段。接下来谁跟哪些商户、支付网络、KYC客户群配对,决定了每个细分市场的归属。
这个市场不会有单一赢家。
链上自主交易这块,以太坊大概率领先。支付绑定的交易场景,Visa优势明显。受监管的金融行业里,Trulioo的KYC、KYB积累难以替代。带欺诈风险的交易场景,Sumsub的实时检测更适合。
四家不是直接对手,他们各占一块山头。真正的竞争发生在哪些场景被划进哪块山头。
KYC从1989年走到今天,用了三十年才把全球金融的身份层补完。
KYA这一轮,节奏看起来要快得多。监管已经动手,标准玩家已经布阵,规模化部署的时间窗口可能就是未来几年。
到时候活下来的,不一定是技术最强的,而是身份基础设施最早接入的。