目前,FIDO联盟——一个专注于身份验证的行业协会,宣布将在谷歌和万事达卡的初步支持下,成立两个工作组,致力于制定验证和保护由AI代理执行的支付及其他交易的行业标准。
这一举措旨在建立一个可跨行业采用的保护基线,使用户能够通过不易被钓鱼或被恶意攻击者接管的机制授权代理行为。标准还将包含加密工具,帮助数字服务确认代理确实在合法且经过身份验证的用户指示下执行操作,同时提供隐私保护框架,使用户、商家及其他服务提供者能够验证由代理发起的交易。换言之,工作目标是防止代理被劫持或出现其他恶意行为,并建立透明度和问责机制,以便在发生争议时提供补救途径。
FIDO联盟首席执行官Andrew Shikiar向WIRED表示:“代理变得越来越普遍,正逐步进入主流应用,但现有模型并非为这种范式设计——它们没有考虑代表用户执行操作的情况。”
他补充道:“回顾我们近年来在密码安全领域的工作,这个问题由来已久。支撑我们互联经济的安全基础并不完善。如今,我们正面临代理式AI和代理式交互、代理式商业的类似关键时刻,有机会避免重蹈覆辙,建立一些基础原则,促进更可信的交互。”
制定广泛适用且促进互操作性的技术标准是一个耗时的过程,通常需要数年时间。但鉴于代理式AI的快速发展和普及,FIDO联盟、谷歌和万事达卡的代表均强调必须加快进度。为此,两家公司都向该计划贡献了开源工具。谷歌的代理支付协议(Agent Payments Protocol,简称AP2)提供了一种加密验证机制,确保用户确实意图发起某项代理交易。万事达卡的可验证意图框架(Verifiable Intent),由谷歌协同开发以配合AP2,是一种安全机制,允许用户授权并控制代理行为。
谷歌支付副总裁兼总经理Stavan Parikh表示:“我们希望提供加密证明,表明交易是用户本人授权的,同时保持隐私,实现选择性披露。生态系统中的不同参与者——平台、商家、支付提供商、网络——只看到与自己相关的信息,但正确的操作会在正确的时间执行。支付是一个复杂的生态系统问题。”
Parikh举例说明:某人想买一双运动鞋,但发现已售罄。买家指示AI代理,如果鞋子补货且价格不超过100美元,自动购买。目标是为该交易提供认证和透明度,确保消费者能以预期价格买到理想鞋款。
Parikh指出,建立这些基础保护对于促进代理式AI的信任和推动AI工具的采用至关重要。无论用户是否主动采用AI技术,代理式AI的普及现实都要求设立最低安全防线。
虽然AP2和可验证意图框架为工作组提供了良好开端,但他们仍需构建大量实际案例,确保技术在现实中可行。随后,用户、平台、商家、支付提供商等各方还需能够大规模采用并支持这些协议。
万事达卡首席数字官Pablo Fourez强调,鉴于代理式AI的发展速度,FIDO联盟的这项工作迫在眉睫且必要。
他说:“这项技术发展非常迅速,压缩了以往可能需要两三年的标准制定周期。普通用户最终只想知道它能否正常工作并值得信赖。我们始终支持持卡人,但当恶意行为者利用这类技术时,支持成本非常高。我们必须推动这项技术的采用,才能有效保护消费者和商家。”
