Deep Dive: Verifiable Intent Mastercard vs Visa Trusted Agent Protocol

Agentic perdagangan melanggar asumsi inti dari pembayaran online, bahwa manusia secara langsung mengklik “beli” di permukaan yang dipercaya. Setelah perangkat lunak dapat menjelajah, memutuskan, dan bertransaksi, pedagang dan jaringan kehilangan primitif keamanan paling sederhana: “pelanggan ada di sini.”

Hal ini menciptakan tiga kegagalan kepercayaan konkret yang muncul sebagai biaya operasional:

Pedagang membutuhkan cara untuk membedakan agen yang sah dan diotorisasi pengguna dari otomatisasi jahat dan lalu lintas bot, tanpa menulis ulang tumpukan mereka atau secara tidak sengaja memblokir sesi yang berharga.

Jaringan pembayaran dan penerbit membutuhkan jejak audit deterministik tentang apa yang diotorisasi pengguna, apa yang dilakukan agen, dan apa yang dikenakan pedagang, sehingga sengketa dan keputusan penipuan dapat didasarkan pada bukti daripada inferensi.

Agen membutuhkan cara portabel untuk membawa bukti otoritas melintasi pedagang, perangkat, dan protokol, baik dalam mode eksekusi manusia maupun tidak manusia.

Baik Mastercard Verifiable Intent maupun Visa Trusted Agent Protocol adalah “lapisan kepercayaan,” tetapi mereka berada di bagian berbeda dari tumpukan, dan mereka mengoptimalkan untuk verifikator yang berbeda.

Perbedaan posisi dalam tumpukan dan model bukti

Saya melihat kontras sebagai “bukti rantai kredensial” versus “pernyataan tepi HTTP.”

Mastercard Verifiable Intent disusun sebagai objek bukti multi-pihak yang dirancang untuk bertahan lebih lama dari sesi penjelajahan. Rantai mengikat jaminan identitas penerbit, otorisasi pengguna, dan pemenuhan agen, dengan ikatan integritas eksplisit antara checkout dan artefak pembayaran.

Visa Trusted Agent Protocol disusun sebagai sinyal interaksi waktu nyata untuk pedagang dan lapisan perlindungan mereka. Artefak inti adalah konteks permintaan HTTP yang ditandatangani, ditambah objek tubuh terkait untuk pengenalan konsumen dan data wadah pembayaran. Ini dioptimalkan untuk “apakah ini agen terpercaya yang berinteraksi dengan properti web saya saat ini,” bukan “bisakah penerbit menilai niat yang didelegasikan nanti.”

Titik kepercayaan berbeda.

Verifiable Intent berakar pada penerbit kredensial pembayaran (institusi keuangan atau jaringan dalam peran penerbit) yang mengeluarkan Layer 1, kemudian pengguna menandatangani Layer 2, lalu agen menandatangani Layer 3 dengan kunci yang terikat melalui semantik cnf. Ini adalah bukti delegasi sebagai rantai kriptografi.

Trusted Agent Protocol berakar pada partisipasi program dan registri kunci di lapisan web, dengan agen membuktikan kepemilikan kunci melalui tanda tangan RFC 9421 dan pedagang mengambil kunci publik dari penyimpanan terpercaya. Secara terpisah, Visa menandatangani token ID yang digunakan untuk pengenalan konsumen dalam implementasi Visa.

Postur privasi juga berbeda secara struktural.

Verifiable Intent menggunakan SD-JWT disclosure selektif untuk menjadikan pengungkapan minimal sebagai properti inti: pedagang melihat pengungkapan mandat checkout; jaringan melihat pengungkapan mandat pembayaran; ikatan L3 yang terpisah dirancang secara eksplisit untuk menjaga batas tersebut.

Trusted Agent Protocol menggunakan obfuscation dan pembagian payload, tetapi tidak dibangun di sekitar komitmen pengungkapan selektif dalam satu rantai kredensial. Ini mengharapkan pedagang mungkin membutuhkan tabel pemetaan untuk merekonsiliasi bidang identitas yang diobfuscate, dan memungkinkan konten wadah pembayaran bervariasi berdasarkan metode checkout.

Jika saya menyederhanakan ini menjadi satu kalimat: Verifiable Intent dirancang untuk auditabilitas lintas peran dan waktu; Trusted Agent Protocol dirancang untuk interaksi dan pengenalan yang aman di batas pedagang.

Realitas integrasi untuk pengembang fintech

Solusi ini tidak saling eksklusif. Mereka menangani mode kegagalan berbeda yang akan ada secara bersamaan di produksi.

Jika saya membangun infrastruktur pedagang, Trusted Agent Protocol cocok dengan artefak rekayasa langsung: verifikasi tepi tanda tangan permintaan RFC 9421, pengambilan dan caching kunci, pelacakan replay nonce, dan pengelola internal yang memutuskan apakah akan memperlakukan sesi masuk sebagai “niat perdagangan agen” berdasarkan tag.

Itu adalah cakupan yang tepat jika masalah saya adalah mitigasi bot palsu dan lalu lintas otomatis yang tidak dikenal. Visa secara eksplisit menyatakan protokol ini sebagai cara untuk menghindari pemblokiran agen yang sah dan membedakannya dari bot jahat, dengan perubahan pedagang minimal.

Jika saya membangun dompet, penerbit, orkestrasi pembayaran, atau infrastruktur terkait jaringan, Verifiable Intent adalah primitif yang lebih relevan karena mendefinisikan apa yang dapat dipegang verifikator sebagai bukti sengketa dan bagaimana rantai otorisasi mengikat ke kunci dan batasan. Format kredensial adalah normatif, kosakata batasan adalah normatif, dan analisis ancaman dibangun di sekitar batas delegasi.

Biaya integrasi yang tidak langsung adalah pengelolaan kunci dan permukaan penandatanganan.

Verifiable Intent mengasumsikan pengguna menandatangani kunci yang terikat di Layer 1 dan digunakan untuk menandatangani Layer 2. Spesifikasi secara eksplisit membahas model penerapan di mana “pengguna membuat L2” bisa berarti sistem yang diotorisasi memegang kunci pribadi pengguna, dan menganggap kompromi kunci pengguna sebagai pengambilalihan penuh akun selama masa kredensial Layer 1.

Trusted Agent Protocol mengasumsikan pasangan kunci agen yang digunakan untuk menandatangani tanda tangan pesan HTTP dan objek tubuh terkait. Ia menganggap penemuan dan caching kunci sebagai tanggung jawab pedagang dan memberikan panduan operasional eksplisit tentang cap waktu, kedaluwarsa, dan replay.

Jika saya membangun platform agen, saya merencanakan keduanya, karena saya masih perlu menavigasi properti pedagang dengan aman sebelum mencapai acara otorisasi pembayaran.

Pengesahan seperti TAP menyelesaikan “biarkan saya menjelajah dan berinteraksi tanpa diblokir” dan menyediakan saluran bagi pedagang untuk meminta info tambahan atau pembayaran untuk akses ke sumber daya seperti ulasan.

Bukti delegasi seperti VI menyelesaikan “biarkan saya mengotorisasi secara otomatis dalam batas yang ditentukan pengguna dan menjaga bukti untuk jaringan dan jalur sengketa,” dengan ikatan eksplisit antara mandat checkout dan pembayaran.

Postur standar ini bersatu meskipun artefaknya berbeda. Mastercard secara eksplisit menyatakan bahwa Verifiable Intent dibangun berdasarkan standar yang diadopsi secara luas termasuk FIDO Alliance, EMVCo, Internet Engineering Task Force, dan World Wide Web Consortium.

Visa secara eksplisit menyatakan keselarasan dengan badan standar seperti IETF, OpenID Foundation, dan EMVCo, dan menyusun Trusted Agent Protocol berdasarkan standar tanda tangan pesan HTTP dan selaras dengan Web Bot Auth.