Tiger Research: AI agents also need to check their IDs

Tiger Research

特邀专栏作者

2026-05-09 06:44

本文約4078字，閱讀全文需要約6分鐘

This market will not have a single winner.

AI總結

展開

Core觀點：隨著AI智能體進入自主執行合約、支付和交易的時代，缺乏統一身份驗證標準成為關鍵風險。文章梳理了「認識你的智能體」（KYA）標準之爭中四個主要玩家的不同策略，並指出監管框架（如歐盟AI法案、美國NIST等）正加速推進，KYA可能成為行業分水嶺。
關鍵要素：
1. KYA需求場景：在中心化平台內KYC就已足夠，而獨立智能體接入去中心化交易所（DEX）、A2A支付或商戶支付時，KYA成為必需，以防止身份偽造、越權交易和責任真空。
2. 四大玩家路徑各異：ERC-8004走鏈上路線，將身份註冊為NFT；Visa TAP通過支付網絡簽發身份憑證Visa Intelligent Commerce（VIC）；Trulioo參照SSL證書模式，發行數位智能體護照（DAP）並持續驗證；Sumsub則在不發證書的前提下，對異常交易進行即時真人重驗。
3. 監管已先行：2019年FATF旅行規則曾重塑加密交易所格局，當前歐盟AI法案、新加坡國家級框架及美國NIST均將智能體身份管理列為優先項，預示KYA將重演監管分水嶺劇本。
4. 業務模式對比：ERC-8004專注鏈上自主交易；Visa錨定支付綁定場景；Trulioo憑藉其在金融科技領域的KYC/KYB積累，更受監管金融行業青睞；Sumsub則專注欺詐風險交易的即時檢測。
5. 市場格局判斷：該市場不會有單一贏家，真正的競爭在於不同場景（鏈上、支付、監管、風控）與相應標準/玩家的組合與配對，時間窗口正在縮小。

本報告由 Tiger Research 撰寫。AI 智能體已經能自己簽合約、自己付款、自己做交易。但有個問題沒解決：你怎麼知道對面那個智能體到底是誰？這篇文章梳理 KYA 標準之爭裡四個玩家的不同打法，以及監管已經走到哪一步。

核心要點

AI 智能體進入自主執行合約、支付和交易的時代，但市場上還沒有統一的標準來驗證身份。在 A2A（智能體對智能體）場景下，KYA 開始比 KYC 更受關注。
KYA 不是處處都需要。在 Google、OpenAI、Coinbase 這種中心化平台內部，現有的 KYC 就夠了。真正需要 KYA 的，是獨立部署的智能體接入 DEX、A2A 支付、商戶支付的時候。
標準之爭已經開始。ERC-8004、Visa TAP、Trulioo、Sumsub 分別從鏈上、支付網路、合規認證、風險檢測四個方向切入，路徑完全不同。
監管已經動了。歐盟 AI 法案、美國 NIST、新加坡國家級框架都把智能體身份管理列為優先項。2019 年 FATF 旅行規則決定了哪些加密交易所活下來，KYA 這次大概率劇本重演。

1. 為什麼是現在

KYC 重塑了金融的那一層

1989 年之前，全球金融沒有統一的身分標準。這個空白讓毒資和黑錢很難被追到源頭。直到那年 FATF 成立，KYC 才成為金融業的硬性要求，把非法資金擋在了門外。

之後三十年，KYC 的影響一層一層擴展。2001 年 911 之後加上反恐融資條款，美國《愛國者法案》把 KYC 升為法定義務。2010 年代歐盟 AMLD、巴塞爾協議 III、FATCA 陸續落地，跨境 KYC 資訊開始自動交換。2019 年 FATF 旅行規則把 KYC 延伸到虛擬資產服務商。

每一次延伸，都是在補一個空白。

沒有智能體身份，系統就在倒退

回到現在。AI 智能體不需要人類盯著，自己就能簽合約、付款、交易。但沒人能驗證它是誰。

在 A2A 環境裡，責任歸屬一片模糊。出了問題找誰，誰也說不清。用戶也很容易撞上洗錢和各種花式詐騙。

把 1989 年之前的金融跟 2026 年的智能體市場擺在一起看，結構驚人地像。當年是匿名帳戶在跨境流動，今天是未經驗證的智能體在 A2A 交易。當年驗證責任在每家銀行各自手裡，今天則在每家平台各自手裡。共同標準都沒有。

這種相似不是巧合，是規律。技術先跑出來了，身份層沒跟上。

KYA 是什麼

KYA（Know Your Agent）是一層信任機制，提前把智能體的來源、權限和責任歸屬驗證清楚。

跳過這一步，三種風險會同時冒出來。第一種是越權交易：用戶只授權了支付，智能體卻挪動資產、簽下範圍外的合約。第二種是身份偽造：惡意智能體偽裝成合法的，劫持支付、偽造響應、盜用信譽。第三種是責任真空：出事之後，智能體、開發者、委託方互相甩鍋，賠償無從追究。

KYA 做的就是把這三件事提前鎖住。預先註冊和驗證權限範圍，越權的動作直接攔掉。驗證身份和來源，只讓合法的智能體進來。每個智能體的來源和委託方都綁定在記錄裡，出事可以追溯。

2. KYA 要在哪裡運作

不是哪兒都需要

中心化平台內部其實不太需要 KYA。用戶做了 KYC，平台自己也兜底，整條鏈路是閉環的。

需要 KYA 的，是走出平台之後的開放環境。智能體要去對接 DEX、做 A2A 支付、付款給商戶。這時候沒人兜底，也沒人能替它擔保。

打個比方。在一個國家內部走動，身份證（KYC）就夠用了。一旦跨過國境（出了平台），環境就變了，必須在入境處接受審查（KYA），說清楚來意和可信度。

四步流程

KYA 的運作可以拆成四步。前兩步是「護照簽發」：先註冊智能體的身份和權限，通過驗證之後發數位護照。後兩步是「入境審查」：交易發生時確認對方身份，再根據交易結果更新記錄。

身份不是一次簽發就永久有效，而是每次交易重新核對一次。

3. 四個玩家在搶標準

標準之爭裡目前有四個玩家，路徑完全不同。

ERC-8004：把身份做成 NFT

ERC-8004 走的是純鏈上路線。它在 ERC-721 之上加了一層身份層，每個智能體被鑄造一枚 NFT 作為唯一 ID。

配套有三個鏈上註冊表。Identity 負責「這個智能體是誰」，基於 ERC-721 的唯一 AgentID。Reputation 負責「能不能跟它交易」，交易完成後在鏈上留下評分、標籤、證據。Validation 負責「它有沒有真的做了那件事」，由第三方驗證者透過 zkML、TEE 等插件來核對。

這種結構在以太坊歷史上不是第一次出現。ERC-20 標準化了代幣發行，USDT、USDC、UNI、AAVE 都長在它上面。ERC-721 標準化了 NFT 發行，CryptoPunks、BAYC、ENS 撐起了整個 NFT 市場。ERC-8004 要扮演的，是同樣位置的第三個標準。

Visa TAP：用支付網路打包

Visa 的思路完全不同。它給智能體簽發一張身份憑證（Agent Intent），相當於一張卡。沒有這把鑰匙，智能體連交易都發起不了。Visa 預先批准之後才發鑰匙，每筆交易都要帶簽名給商戶。

商戶收到的不只是一個簽名，而是三個。Agent Intent 證明智能體合法，由 VIC 批准的密鑰背書。Consumer Recognition 說明它在替誰幹活，把用戶標識符傳給商戶。Payment Information 提供支付保證，用支付 token 或者哈希過的卡資訊完成認證。

Visa 把這套東西放進了一個更大的包，叫 Visa Intelligent Commerce（VIC）。裡面除了 TAP，還有 Agent APIs（Visa 卡使用時跑的自家技術）、Tokenization（專給 AI 發的 token）、以及 Intelligent Commerce Connect（相容 AP2、ACP、x402 等競爭協議）。

邏輯很清楚。Visa 當年抓住了支付網路的入口，現在想把智能體時代也打包進自己的軌道。如果智能體支付繼續走卡網路，而這套包成為預設選項，Visa 的份額就穩住了。

Trulioo：把 SSL 那套搬過來

Trulioo 是全球 KYC、KYB 合規賽道上的玩家，現在把驗證棧延伸到了 KYA。

它借鑒了網站 SSL 憑證的模式。SSL 是 CA（Certificate Authority）發 TLS 憑證給網站，驗證的只是域名。Trulioo 提出的 DPA（Digital Passport Authority）則發 DAP（Digital Agent Passport）給智能體，驗證的是開發者 KYB 加用戶 KYC。

DAP 不是一張靜態憑證。它是一個會重新整理的有效 token，每次交易都重新驗證。一旦委託被撤回或者檢測到異常，DAP 立刻作廢。

它有一個五道檢查點：Provenance（哪個開發者做的）、User Binding（誰授權的）、Permission Scope（能幹哪些活）、Behavior Telemetry（現在在做什麼）、Risk Scoring（風險評級）。

銀行和金融科技在法律上必須驗證人和公司身份。智能體一旦進入金融領域，Trulioo 的 KYC、KYB 位置反而更穩了。