支付基础设施必须如何发展以支持自主商务

作者：Bluefin 创始人兼首席战略与发展官 Ruston Miles。

面向自主思考的金融科技专业人士的智能情报层。

一手情报来源。原创分析。由定义行业的人贡献的内容。

获得来自 JP Morgan、Coinbase、BlackRock、Klarna 等专业人士的信赖。

加入 FinTech 每周清晰圈 →

商业交易已经超越了传统的人类结账。AI 代理正在主动搜索产品、对比选项，并代表消费者和企业发起购买。通过浏览器自动化、API 以及编排层运行，这些系统正以越来越高的自主性执行多步骤交易。

软件不再只是辅助商业。它正在成为支付流程中的参与者。

这种变化暴露出支付生态系统中的结构性缺口。自主系统现在能够在无需直接人类参与的情况下做出购买决策，但用于管理支付的基础设施仍然假设授权时在场的是真实的人。

诸如 PCI DSS、卡组织规则和 NACHA 运营指引等标准，定义了商户、发卡机构、收单机构以及服务提供商的角色。它们并未定义：当自主软件代表用户行动时，应如何识别、授权或控制该软件。结果是，代理式商业的发展速度快于为其提供支持的信任架构。

自主商业不会受创新的限制。它将受信任的限制。要在安全前提下实现规模化，需要具备安全基础设施，以考虑代理身份、被委托的权限以及当机器发起交易时的受控执行。

代理式商业正在扩大风险面

随着 AI 代理在采购活动中扮演更大角色，支付背后的威胁模型正在发生根本性变化。传统的欺诈模式聚焦于被盗凭证和未经授权的刷卡使用，发生在“人—结账界面”之间一个界定清晰的交互中。

代理式交易的运作方式不同。AI 系统可能持有被委托的授权，从而能够持续代表消费者或企业行动。它不需要像以往那样只在某一次认证后继续执行；代理可以在多个交易与不同环境中不间断地评估、做出决策并执行。

这会将攻击面上移至系统架构层面。攻破编排层不再只影响单笔交易，它可能影响整条采购活动链路。同时，自动化也改变了金融活动的节奏。AI 系统无需犹豫，以人类用户无法匹敌的速度与规模执行支付。

新兴威胁也反映出这种转变。攻击者正在尝试合成式委托，伪造授权流程；同时还在研究提示注入（prompt injection）技术，以操纵代理的决策过程。在这些场景中，目标不再是单一凭证，而是代理运行的环境。

随着这些动态不断演进，结账开始从一个独立事件逐渐消失。它变成了对软件持续授予的权限，在预定义或未定义的边界内持续运行。

为自主商业构建护栏

代理式商业需要专为自主参与者设计的基础设施。随着 AI 系统开始发起交易，支付安全架构必须随之演进，以反映这些系统如何运作，以及它们的权限如何被定义、约束并强制执行。

建立这些护栏将决定代理式商业能否在安全条件下实现规模化。以下设计原则代表任何软件被授权执行交易的环境所必需的基础控制。

1. 为被委托的权限划定边界

当消费者或企业把采购授权委托给 AI 代理时，这项授权必须存在于被清晰且严格执行的限制范围之内。若缺少明确约束，软件可能拥有远超预期的行动自由度，从而同时增加财务与运营风险。

组织应实施结构化的权限框架来规范代理如何行动。消费额度上限可以限制财务暴露。商户类别控制可以将活动限制在已批准的场景中。时间限定的权限可确保被委托的授权在不再需要时自动到期。

同样关键的是实时撤销机制：一旦检测到异常行为，授权必须能够立即被撤回。在代理需要持续运行的环境中，控制也必须是持续的。这些防护措施可以防止被委托的访问范围超出原本意图，并有助于在滥用蔓延到多笔交易之前进行遏制。

2. 为 AI 代理建立可验证的身份

支付生态系统的设计目标是对个人与组织进行身份认证。代理式商业引入了一种新的参与者：在被委托权限之下运行的自主软件。

为了让这些系统安全运行，AI 代理必须具备可验证、并以密码学方式绑定的身份，从而把它的行为与获得授权的人类或组织主体关联起来。该身份层为每一笔交易建立明确的委托链路。

当出现疑问时，这条链路能让调查人员追踪授权是如何被授予的、如何被执行的，以及在哪些环节发生了故障。随着软件从“协助交易”转向“发起交易”，这种程度的归因与问责将变得至关重要。

3. 将 AI 决策与支付执行分离

代理式商业中最关键的架构要求之一，是将决策与执行分离。

AI 系统可能会决定“买什么”和“何时购买”。该支付的执行应当在一个独立的、加固的基础设施层中完成——该层应专门为安全的交易处理而构建。这样可以确保 AI 模型永远不会直接接触原始的支付凭证。

代理负责表达意图，而安全执行层负责完成交易。

这种分离在今天已经可以通过“以安全为优先”的基础设施模型实现：该模型将支付执行与外部系统隔离，同时允许编排层独立运行。令牌化（tokenization）和端到端点对点加密（point-to-point encryption）等技术不再只是合规工具，它们构成了在自动化环境中保护敏感支付数据的控制平面。

随着代理式商业不断演进，这些保护必须能够无缝扩展到那些正积极参与采购决策的系统中。

4. 保障编排层的安全

在自动化环境中，编排层将成为支付安全的新的运行边界。该层负责决定 AI 代理如何收集数据、如何做出决策以及如何发起交易。

由于编排系统会引导自主行为，它们必须在严格的策略控制与持续监控之下运行。护栏应定义代理被允许做什么，而遥测（telemetry）则提供对这些动作如何被执行的实时可视化。

审计性同样至关重要。每一个由机器发起的动作都应生成可追溯的记录，使组织能够重建决策路径，并在问题出现时识别异常。

如果缺少这种监督，编排层有可能变成支付流程中的不透明控制点；而有了它们，编排层就会成为可强制执行、可观察的信任系统。

让支付生态系统为自主交易做好准备

代理式商业代表了交易发起方式的根本性转变。几十年来，支付系统围绕“人与结账界面”的交互进行设计。随着软件驱动的系统开始直接参与这些工作流，这一模型背后的假设已经不再足够。

这一过渡将不仅仅需要对现有控制进行增量式更新。支付基础设施、身份框架以及监督机制都必须演进，以支持这样的环境：软件在被委托权限之下持续运行，并在数字系统中持续行动。

AI 驱动的创新步伐还将继续加速。制约因素不会来自能力，而来自信任。

在代理式环境中，信任无法在交易边缘被强制执行，也无法作为外部控制简单施加。它必须被直接嵌入到执行交易的基础设施之中。

支付不再只是转移资金。它们正在成为决定“谁或什么被允许行动”的系统。