从 KYC 到 KYA:探索加密市场中 AI 代理的未来
金融行业花费了数十年时间建立“了解你的客户”(KYC)基础设施。而现在,该行业可能只有几个月的时间来弄清楚“了解你的代理”(KYA)。随着 AI 代理涌入加密货币市场——据估计,到 2025 年底将有一百万个自主代理在区块链上运行——关于“谁(或什么)正在交易”的问题已变得极其紧迫。
2025 年 10 月,Visa 发布了其“信任代理协议”(Trusted Agent Protocol),当时美国零售网站的 AI 驱动流量激增了 4,700%。其传递的信息很明确:机器已经在购物了,而商业基础设施尚未准备好。
从 KYC 到 KYA:为什么身份识别必须演进
“了解你的客户”(KYC)是为人类进行交易的世界设计的。每一次开户、每一次电汇、每一次加密货币交易所注册都假设另一端是一个人——一个持有护照、水电费账单并有面部可供验证的人。
但 2025 年打破了这一假设。Coinbase 的 CEO 公开演示了 AI 代理自主执行链上加密货币转账。到 2024 年底,行业观察人士预测加密自主代理将迎来爆发式增长,原生于区块链的 AI 系统将在无需人工干预的情况下管理投资组合、执行交易并操作 DeFi 协议。
问题的核心在于:当软件自主行动时,传统的 KYC 无法回答那些至关重要的问题。谁构建了这个代理?谁授权它行动?它的权限限制是什么?出错时谁负责?
于是有了“了解你的代理”(KYA)——一个将 KYC 和 KYB(了解你的业务)的验证逻辑应用于软件本身的框架。正如 Trulioo 和 PayOS 在其 2025 年白皮书中所阐述的,KYA 确定了哪个代理正在行动、谁授权了它,以及它在何种权限和限制下运行。
数字代理护照:机器的凭证
新兴 KYA 框架的核心是“数字代理护照”(DAP)——这是一种防篡改的凭证,显示了谁构建了代理、它代表谁以及它拥有的权限。
Trulioo 的框架概述了五个关键检查点:
- 溯源(Provenance):验证代理开发者的身份和锁定的源代码
- 用户绑定(User Binding):捕获将代理与其人类主体联系起来的授权同意
- 权限范围(Permission Scope):明确代理可以采取行动的边界
- 实时行为遥测(Real-Time Behavior Telemetry):对代理行为进行持续监控
- 持续风险评分(Continuous Risk Scoring):对代理的可信度进行动态评估
白皮书建议由独立的“数字护照机构”来颁发、签署和吊销这些凭证——其功能类似于验证加密网站的 SSL 证书颁发机构,但服务对象是自主软件。
这并非理论。2025 年 8 月,Worldpay 宣布将使用 KYA 帮助商家在结账时验证 AI 代理。到 12 月,Trulioo 加入了 Google 的“代理支付协议”(AP2),以实现跨平台的可信代理主导支付。
协议之战:Visa TAP vs. Google AP2 vs. Stripe ACP
定义代理身份验证标准的竞争正在加剧,主要参与者纷纷提出竞争主张。
**Visa 的信任代理协议(TAP)**于 2025 年 10 月推出,使用经过加密签署的 HTTP 消息来传输代理的意图、经过验证的用户身份和支付详情。商家在处理交易前使用 Visa 的公钥验证签名,以确认真实性。TAP 已在 GitHub 和 Visa 开发者中心上线,早期采用者包括 Nuvei、Adyen、Stripe、Akamai 和 Cloudflare。
**Google 的代理支付协议(AP2)**采取了一种与支付方式无关的方法,支持银行卡、银行转账甚至稳定币。AP2 使用加密的用户授权来证明同意,为 AI 代理如何跨平台交易创建了一种通用语言。
**Stripe 与 OpenAI 的代理商业协议(ACP)**于 2025 年 9 月宣布,可在 ChatGPT 及类似的 AI 界面中实现即时结账。
Mastercard 的 Agent Pay 纳入了 Web Bot Auth 标准,而 American Express 正在使用类似的身份验证原语构建其自己的代理商业计划。
底层技术基础设施借鉴��了既定标准:用于加密签署身份声明的 W3C 可验证凭证(Verifiable Credentials)v2.0,以及适用于自动化流程且具有防网络钓鱼能力的身份验证流 NIST SP 800-63-4。
区块链的角色:ERC-8004 与链上代理身份
在传统支付网络构建中心化身份验证层的同时,加密货币生态系统正在开发原生替代方案。
ERC-8004——绰号“去信任代理”(Trustless Agents)——是一项直接在链上解决代理身份问题的以太坊标准草案。该提案包括:
- 链上注册表:在区块链上注册代理身份并记录声誉数据的智能合约,允许外部实体验证凭证和性能历史
- 基于 NFT 的便携式 ID:为代理提供唯一的、可转移的身份代币
- 声誉系统:用于构建信任评分的可验证反馈机制
- 可插拔验证:支持零知识证明和基于 TEE 的代理输出验证
这种去中心化的方法反映了区块链通过自主主权身份(SSI)系统处理人类身份的方式。正如人类不需要中心化机构来证明其钱包的所有权一样,代理也可以通过加密证明而不是企业守门人来建立信任。
这对 DeFi 的影响是巨大的。到 2026 年,AI 代理现在可以合法地以自己的名义持有加密货币,实际上作为独立的经济实体运行。DeFi 中的代理 AI 已经通过账户抽象和可编程智能合约,在借贷协议、收益耕作策略和套利机会中穿梭。
监管清算:美国财政部介入
监管机构并不会坐等行业自我整顿。在财政部长珍妮特·耶伦(Janet Yellen)的领导下,美国财政部已推进相关提案,作为《GENIUS 法案》咨询的一部分,旨在将数字身份验证整合到 DeFi 智能合约中。
该提案概述了潜在的解决方案,包括 API、AI 驱动的验证系统以及基于区块链的身份基础设施,这些方案可以使用政府颁发的身份证件、生物识别数据或便携式数字凭证来验证用户身份。
监管逻辑显而易见:如果没有身份验证,到 2026 年运行的 AI 代理将被排除在机构信任的协议之外。这降低了匿名机器人网络进行大规模市场操纵的风险——随着代理发起的交易量激增,这一担忧日益加剧。
据预测,到 2026 年,至少 25% 的主要金融机构将提供基于区块链的验证选项,而 AI 与区块链混合的反欺诈系统与传统方法相比,有望将身份欺诈减少 40-50%。
为什么加密市场面临独特的 KYA 挑战
加密货币市场为代理身份验证带来了独特的复杂性:
伪匿名性与问责制:加密货币的核心理念重视无许可访问。要求代理凭证与“任何人无需守门人即可交易”的原则之间产生了冲突。
跨链复杂性:在 Ethereum、Solana 和 Sui 上运行的代理需要被多个生态系统认可的凭证——目前尚无标准能完全解决这一问题。
实时性要求:DeFi 以机器速度运行。身份验证机制必须在不引入延迟的情况下验证代理身份,否则会破坏交易策略。
责任缺口:当 AI 代理执行的智能合约遭到攻击时,谁来承担责任?代理的开发者?委托人?还是协议本身?目前的框架尚无答案。
女巫攻击:如果没有强大的身份机制,恶意行为者可以部署数千个代理来操纵治理投票、耗尽流动性池或发起协同攻击。
这些挑战解释了为什么 DeFi 平台面临合规悖论:实施身份验证系统与去中心化价值观冲突,但没有它们又会招致监管打击和机构排斥。
利害攸关:机器经济的信任基础设施
Visa 预测,到 2026 年假期购物季,将有数百万消费者使用 AI 代理完成购买。试点项目将于 2026 年在亚太、欧洲和拉美地区陆续启动。
其财务影响是巨大的。AI 与加密货币的融合正在推动两个主要阵地:用于监控、合规和欺诈预防的 AI 驱动分析,以及 AI 系统在预设参数下发起交易的代理支付(agentic payments)。
特别是对于加密市场,KYA 的缺失会导致连锁风险:
- 欺诈风险:当代理在没有明确身份的情况下行动时
- 责任模糊:使商户和协议无处追责
- 消费者信任流失:用户无法审计代理代��表他们执行的操作
- 支付碎片化:由于缺乏统一的身份协议
行业花费数十年才实现 KYC,而部署 KYA 可能只有几个月的时间。今天正在编写的协议——TAP、AP2、ERC-8004——将决定 AI 代理是成为机器经济中受信任的参与者,还是被锁在机构金融的大门之外。
对开发者的意义
对于进入该领域的开发者来说,信息很明确:代理身份不是可选的基础设施,而是基石。
构建自主代理的项目应考虑:
- 从第一天起就为代理行为实施加密签名
- 设计跨链和跨平台的凭证便携性
- 构建既满足链上透明度又符合监管预期的审计追踪
- 预见并集成 ERC-8004 和 TAP 等新兴标准
能够在 2026 年及以后蓬勃发展的代理,不仅是那些最聪明或最快的代理,而是那些能够以机器速度和加密确定性,证明自己是谁、代表谁以及被授权做什么的代理。
随着自主 AI 代理重塑区块链交互,可靠的基础设施对于人类开发者及其机器同行都变得至关重要。BlockEden.xyz 提供企业级区块链 API,专为跨多链的高频、代理发起操作需求而设计。