AI智能体身份验证新时代：KYA标准争夺战

本报告由 Tiger Research 撰写。随着AI智能体逐渐能够自主执行合约、支付和交易，一个关键问题浮出水面：如何确认与你交互的智能体的真实身份？本文梳理了KYA（Know Your Agent）标准之争中四个主要参与者的不同策略，以及监管机构目前的进展。

核心要点

• AI智能体已进入自主执行合约、支付和交易的时代，但市场尚未形成统一的身份验证标准。
• 在A2A（智能体对智能体）场景下，KYA的重要性开始超越传统的KYC（了解你的客户）。
• KYA并非普遍适用，在Google、OpenAI、Coinbase等中心化平台内部，现有的KYC机制已足够。真正需要KYA的是独立部署的智能体，尤其是在接入去中心化交易所（DEX）、A2A支付和商户支付时。
• ERC-8004、Visa TAP、Trulioo、Sumsub分别从链上、支付网络、合规认证和风险检测四个方向切入，路径各不相同。
• 监管已经开始行动，欧盟AI法案、美国NIST和新加坡国家级框架均将智能体身份管理列为优先事项。

为什么是现在？

KYC重塑了金融行业的身份验证层。1989年之前，全球金融体系缺乏统一的身份标准，这使得非法资金难以追踪源头。直到FATF成立后，KYC才成为金融业的硬性要求，并逐步扩展至反恐融资、跨境信息交换和虚拟资产服务商等领域。

如今，AI智能体能够自主完成合同签署、支付和交易，但其身份却无法被有效验证。在A2A环境中，责任归属模糊不清，用户可能面临洗钱和诈骗的风险。当前的智能体市场与1989年前的金融体系惊人地相似——技术先行，身份层滞后。

KYA是什么？

KYA（Know Your Agent）是一种信任机制，旨在提前验证智能体的来源、权限和责任归属。跳过这一步骤可能导致三种风险：

1. 越权交易：智能体超出授权范围进行操作。
2. 身份伪造：恶意智能体伪装成合法实体。
3. 责任真空：事故发生后，智能体、开发者和委托方互相推诿。

KYA的应用场景

KYA并非在所有场景中都必要。在中心化平台内部，用户的KYC和平台兜底已形成闭环，KYA需求较低。然而，当智能体走出平台，进入开放环境（如对接DEX、A2A支付或商户支付）时，KYA变得至关重要。

KYA运作分为四步：

1. 注册智能体身份和权限。
2. 通过验证后发放数字护照。
3. 交易发生时确认对方身份。
4. 根据交易结果更新记录。

四个玩家的标准争夺战

ERC-8004：链上身份NFT

ERC-8004采用纯链上路线，基于ERC-721为每个智能体铸造一枚NFT作为唯一ID。配套有三个链上注册表：

• Identity：验证智能体身份。
• Reputation：评估交易可信度。
• Validation：核对交易真实性。

Visa TAP：支付网络打包方案

Visa通过签发身份凭证（Agent Intent）控制智能体支付入口。每笔交易需携带三个签名：

• Agent Intent：证明智能体合法性。
• Consumer Recognition：说明代理关系。
• Payment Information：提供支付保证。

Trulioo：借鉴SSL证书模式

Trulioo提出DPA（Digital Passport Authority）为智能体签发DAP（Digital Agent Passport），结合开发者KYB和用户KYC进行动态验证。

Sumsub：实时异常检测

Sumsub不颁发证书，而是在智能体出现异常交易时重新验证背后的责任人，强调实时性和灵活性。

监管落地前的时间窗口

欧盟、美国和新加坡已将智能体身份管理列为优先事项。类似2019年FATF旅行规则的影响，KYA标准之争可能再次重塑行业格局。

最终，市场不会有单一赢家。以太坊可能在链上交易领域领先，Visa在支付绑定场景占优，Trulioo在受监管金融领域稳固地位，而Sumsub则适合高风险交易场景。