Qui a autorisé cela ? La zone grise de x402

null

Auteur de l’article : David Christopher

Traduction de l’article : Block unicorn

Le succès de x402 ne pourrait pas se faire sans les intégrateurs natifs. Des programmes d’emballage non autorisés peuvent transformer des partenaires potentiels en adversaires.

La semaine dernière, Coinbase a lancé agentic.market, une plateforme présentant les points de terminaison x402, conçue pour rendre l’écosystème x402 plus facile à découvrir.

En parcourant agentic.market, vous découvrirez un accès en temps réel et à la demande à divers services, allant des outils on-chain aux API grand public. Certains points de terminaison sont fournis directement par le fournisseur d’origine. Beaucoup d’autres proviennent de tiers : certaines entreprises emballent leurs API existantes en x402 (et/ou MPP), et les regroupent dans des kits d’outils accessibles via un proxy, que les utilisateurs peuvent consulter en payant une petite somme pour y accéder via une seule connexion.

La deuxième approche complique la situation. Parmi les points de terminaison tiers listés sur Agentic Market, on trouve des services de Wolfram Alpha, Google Flights et Amadeus (une plateforme de données de voyage largement utilisée). Je mets en avant ces trois plateformes car elles n’ont pas annoncé d’intégration x402, et leurs conditions d’utilisation indiquent qu’elles sont peu susceptibles d’autoriser des tiers à construire des intégrations en leur nom.

Chaque point de terminaison indexé sur Agentic Market peut être de première partie (fournie directement par le fournisseur d’origine), d’autorisation tierce (distributeurs explicitement autorisés, généralement via un programme de certification ou de partenariat), ou non autorisé (entreprise revendant sans permission l’accès API payant qu’elle a obtenu).

Dans tout le marché et tout l’écosystème x402, il est difficile de distinguer immédiatement ce qui relève de la première partie ou de tiers, et beaucoup de points de terminaison semblent appartenir à cette dernière catégorie.

Conditions contractuelles

Comme mentionné, les termes de ces trois fournisseurs rendent très probable, voire totalement exclu, tout arrangement non autorisé par un tiers.

Wolfram Alpha interdit explicitement les « distributeurs et agrégateurs », proscrit toute forme de collecte ou d’extraction de données, et interdit la revente ou la cession de services sans permission. Ces clauses semblent laisser peu de place à une voie autorisée pour des tiers. De plus, après avoir consulté leur guide de démarrage rapide, il est évident que ce n’est pas une intégration de première partie.

(Les conditions d’utilisation de Wolfram Alpha pour l’API)

Le contrat de service principal d’Amadeus ne permet l’accès qu’à des fins internes, et interdit toute « location, leasing, distribution, vente, revente, transfert ou autre transfert » de leur accès. Toute connexion tierce doit être certifiée par Amadeus et documentée par un ordre de service officiel. Cela signifie que la seule voie pour obtenir une autorisation tierce est formellement encadrée, et il est impossible de vérifier de l’extérieur si un point de terminaison existant respecte ces conditions.

(Restrictions dans l’accord Le contrat de service principal d’Amadeus)

Le cas de Google est le plus représentatif. Google Flights ne propose pas d’API publique, et Google applique des mesures strictes pour protéger ses données.

Cependant, des programmes tiers emballent l’accès aux données de Google Flights, provenant de SerpApi — une société que Google poursuit activement pour avoir extrait des résultats de recherche et revendu l’accès. La plainte de Google indique que SerpApi a développé des outils pour contourner les contrôles d’accès, envoyant « des centaines de millions » de requêtes frauduleuses chaque jour pour le scraping, et revendant le contenu protégé par copyright intégré dans les résultats de recherche.

Google poursuit donc SerpApi pour revente de contenu protégé par copyright et contournement de ses contrôles d’accès. Pendant ce temps, le service de SerpApi est emballé par un fournisseur d’outils proxy, qui le propose à des agents et facture des frais. C’est une situation à méditer.

(Détails de l’accès à SerpApi via le point de terminaison StableTravel)

Comment la conformité est-elle assurée ?

Même sans être expert juridique, il est évident que ces dynamiques sont « complexes ». La bonne nouvelle, c’est qu’un modèle plus clair commence à émerger.

MPP est le protocole de paiement par proxy lancé par Tempo lors de son lancement principal, proposant dès le premier jour plus de 100 services compatibles. Les fournisseurs intégrant directement MPP — comme Parallel, Stripe Climate, Browser Base — sont marqués d’un cercle vert sur leur carte, indiquant qu’ils sont des fournisseurs de première partie.

(Catalogue des services consultable via mpp.dev)

Il y a environ deux semaines, l’outil de recherche IA populaire Exa a annoncé la prise en charge native du protocole x402 pour ses points de recherche et de contenu — devenant ainsi un fournisseur de première partie, en partenariat avec Coinbase. Exa explique avoir choisi x402 plutôt qu’un protocole propriétaire, car il est régulé par la Linux Foundation.

Résultats inévitables

Actuellement, il est impossible pour un acteur externe de savoir si un point de terminaison est de première partie, autorisé par un tiers ou non autorisé. C’est un problème qui peut être résolu, et le catalogue de services MPP — qui affiche clairement la provenance de chaque intégration — constitue une étape dans cette direction.

Les activités de scraping non autorisées ont déjà exercé une pression considérable sur les fournisseurs de services : surcharge des serveurs, coûts de bande passante, et trafic qu’ils n’ont jamais accepté de fournir. Le fait que des tiers emballent ces données dans le protocole x402 et facturent des frais aggrave la situation. Les fournisseurs supportent tous les coûts, sans en tirer de bénéfice.

Il est donc crucial d’identifier la racine du problème. x402 est un protocole ouvert — tout développeur peut l’utiliser pour développer via HTTP, tout comme il peut développer sur n’importe quel autre protocole. Le mécanisme de paiement ne permet pas de suivre si les données en amont ont été obtenues avec autorisation. La responsabilité incombe à ceux qui emballent ces points de terminaison pour que les utilisateurs y accèdent.

Sans mécanisme de responsabilisation, cela pourrait nuire au développement global de x402 — les intégrateurs natifs potentiels pourraient devenir des opposants plutôt que des participants. Ces revenus devraient revenir aux fournisseurs de services. L’intégration native est leur moyen de revendiquer ces revenus, et c’est aussi leur légitimité pour faire évoluer x402.

Note : Au 25 avril, Google Flights n’est plus listé sur Agentic Market.