Siapa yang memberi otorisasi ini? Area abu-abu dari x402

null

Penulis artikel: David Christopher

Terjemahan artikel: Block unicorn

Keberhasilan x402 tidak lepas dari integrator asli. Program kemasan tanpa izin dapat mengubah mitra potensial menjadi lawan.

Minggu lalu, Coinbase meluncurkan agentic.market, sebuah platform yang menampilkan endpoint x402, bertujuan memudahkan penemuan ekosistem x402.

Dengan menjelajahi agentic.market, Anda akan menemukan akses layanan secara real-time dan sesuai permintaan, mulai dari alat on-chain hingga API utama. Beberapa endpoint disediakan langsung oleh penyedia asli. Banyak endpoint lainnya berasal dari pihak ketiga: beberapa perusahaan mengemas API yang ada menjadi x402 (dan/atau MPP), dan mengemasnya dalam paket alat yang dapat digunakan oleh proxy, di mana pengguna hanya perlu membayar biaya kecil untuk mengakses melalui satu koneksi.

Metode kedua ini membuat situasi menjadi lebih kompleks. Di Agentic Market, tercantum layanan dari pihak ketiga seperti Wolfram Alpha, Google Flights, dan Amadeus (sebuah platform data perjalanan yang banyak digunakan). Saya menyoroti ketiga platform ini karena mereka sendiri belum pernah mengumumkan integrasi x402, dan syarat layanan mereka menunjukkan bahwa mereka kemungkinan besar tidak akan mengizinkan pihak ketiga membangun integrasi atas nama mereka.

Setiap endpoint yang diindeks di Agentic Market bisa jadi adalah first-party (penyedia asli langsung menyediakan API-nya), otorisasi pihak ketiga (dealer yang mendapatkan izin resmi, biasanya melalui sertifikasi formal atau program mitra), atau pihak ketiga tanpa izin (perusahaan menjual kembali akses API berbayar mereka tanpa izin).

Di seluruh pasar dan ekosistem x402 secara keseluruhan, kita tidak dapat langsung membedakan mana yang first-party, mana yang pihak ketiga yang terotorisasi, dan mana yang tidak berizin, dan banyak endpoint tampaknya termasuk dalam kategori terakhir.

Ketentuan Kontrak

Seperti yang disebutkan sebelumnya, ketentuan dari ketiga penyedia ini membuat pengaturan pihak ketiga tanpa izin sangat mungkin terjadi, bahkan dalam beberapa kasus sepenuhnya dilarang.

Wolfram Alpha secara tegas melarang “dealer dan agregator”, melarang pengambilan data atau penggalian data dengan cara apa pun, dan melarang penjualan atau pengalihan layanan tanpa izin. Ketentuan ini tampaknya tidak memberi ruang sama sekali bagi jalur pihak ketiga yang terotorisasi. Selain itu, setelah melihat panduan cepat untuk endpoint ini, jelas bahwa ini bukan integrasi first-party.

(Ketentuan API dalam Wolfram Alpha)

Perjanjian layanan langganan utama Amadeus hanya mengizinkan pelanggan mengakses untuk keperluan bisnis internal, dan melarang segala bentuk “penyewaan, leasing, distribusi, penjualan, penjualan kembali, pengalihan, atau transfer lain” dari akses mereka. Setiap koneksi pihak ketiga harus mendapatkan otorisasi dari Amadeus dan didokumentasikan melalui pesanan layanan resmi. Ini berarti satu-satunya cara mendapatkan otorisasi pihak ketiga, dan apakah endpoint yang ada memenuhi syarat ini, tidak dapat dilihat dari luar.

(Pembatasan dalam Perjanjian)

Situasi Google paling khas. Google Flights tidak memiliki API yang dipublikasikan, dan Google memberlakukan perlindungan ketat terhadap data mereka.

Namun, program kemasan pihak ketiga sedang mengemas akses ke data Google Flights, yang berasal dari SerpApi—sebuah perusahaan yang sedang digugat aktif oleh Google karena diduga melakukan pengambilan data hasil pencarian dan menjual kembali aksesnya. Gugatan Google menyatakan bahwa SerpApi mengembangkan alat yang melewati kontrol akses, mengirim “ratusan juta” permintaan palsu setiap hari untuk pengambilan data, dan menjual konten berhak cipta yang disematkan dalam hasil pencarian.

Oleh karena itu, Google menggugat SerpApi karena menjual konten berhak cipta dan melewati kontrol akses mereka. Sementara itu, layanan SerpApi dikemas oleh penyedia paket proxy yang memberikannya kepada agen dan mengenakan biaya. Ini patut dipikirkan.

(Rincian akses SerpApi melalui endpoint StableTravel)

Bagaimana Kepatuhan Ditunjukkan

Tanpa perlu ahli hukum, dapat dilihat bahwa dinamika ini sangat “rumit”. Kabar baiknya, pola yang lebih jelas kini mulai terbentuk.

MPP adalah protokol pembayaran proxy yang diluncurkan Tempo saat peluncuran mainnet mereka, menyediakan lebih dari 100 layanan kompatibel sejak hari pertama. Penyedia yang mengintegrasikan MPP secara langsung—seperti Parallel, Stripe Climate, Browser Base, dan lain-lain—ditandai dengan lingkaran hijau di kartu mereka, menandakan mereka sebagai penyedia first-party.

(Daftar layanan yang dilihat melalui mpp.dev)

Sekitar dua minggu lalu, alat riset AI populer Exa mengumumkan dukungan native untuk protokol x402 di endpoint pencarian dan kontennya—menjadi penyedia first-party, dan menjalin kerjasama dengan Coinbase. Exa menyatakan bahwa memilih x402 daripada protokol proprietary karena didukung oleh Linux Foundation.

Hasil yang Tidak Terelakkan

Saat ini, tidak ada cara bagi pihak luar untuk mengetahui apakah sebuah endpoint adalah first-party, otorisasi pihak ketiga, atau tanpa izin pihak ketiga. Ini adalah masalah yang bisa diselesaikan, dan katalog layanan MPP—yang secara jelas menampilkan sumber setiap integrasi—adalah langkah menuju ke sana.

Pengambilan data tanpa izin sudah memberi tekanan yang signifikan pada penyedia layanan: beban server, biaya bandwidth, dan trafik yang mereka tidak pernah setujui. Pihak ketiga yang mengemas data pengambilan tersebut dalam protokol x402 dan mengenakan biaya, semakin memperburuk keadaan. Penyedia layanan menanggung semua biaya, tetapi tidak mendapatkan apa-apa.

Oleh karena itu, penting untuk mengidentifikasi akar masalahnya. x402 adalah protokol terbuka—seperti halnya pengembang mana pun dapat membangun berdasarkan HTTP, pengembang mana pun dapat membangun berdasarkan x402. Mekanisme pembayaran tidak dapat melacak apakah data upstream diperoleh secara sah. Tanggung jawab terletak pada pengembang yang mengemas endpoint ini untuk digunakan pengguna.

Tanpa mekanisme akuntabilitas, perkembangan x402 secara keseluruhan dapat terpengaruh secara negatif—integrator asli potensial bisa menjadi lawan, bukan peserta. Pendapatan ini seharusnya menjadi milik penyedia layanan. Integrasi asli adalah cara mereka mengklaim pendapatan tersebut, dan juga cara x402 mendapatkan legitimasi untuk berkembang.

Catatan: Hingga 25 April, Google Flights tidak lagi tercantum di Agentic Market.