事件背景
2026 年 4 月,專業身份驗證組織 FIDO 聯盟宣布與 Google、Mastercard 聯手,成立兩個工作小組,目標制定產業標準來規範 AI 代理(AI Agent)執行支付交易的行為。這不是某家公司的單邊決定,而是跨產業的標準化動作,象徵 AI 代理從實驗室走向金融交易主戰場的臨界點。
現實困境
AI 代理的核心價值在於自主性:它能代替用戶檢索資訊、比較價格、下單、付款,甚至與供應商協商。但自主性帶來的代價是失控風險。一個被駭客劫持的 AI 代理可能在用戶毫不知情下,按照早已授權的指令大額轉帳;一個訓練不足的 AI 可能誤解用戶意圖,執行超出授權範圍的行動。
傳統電商防護是「事後認證」:用戶看到帳單後發現異常才申報,銀行調查再賠償。但 AI 代理的「代理權」是前置的、持續的,不可能每筆交易都重新認證。這意味著需要一套密碼學證明系統:確保每一次 AI 代理的行動都帶著「我是被授權的」的不可偽造簽章。
標準的三層意義
第一層:身份確認 AI 代理必須能在執行前驗證自己確實來自用戶的信任環境,而非被中間人攔截後的冒牌貨。這類似於現代銀行的雙因素認證,但標的從「人登入」擴展到「機器代理行動」。
第二層:授權邊界 DNA 鏈上的第四步會觸及的問題:授權的邊界怎麼定義?「買咖啡」和「買咖啡機」都是授權給家務代理 AI,但額度上限誰說了算?標準需要定義授權的粒度、金額上限、時間窗口、可撤銷性。
第三層:事後追溯 當爭議發生時(用戶說「我沒授權這個」,代理說「我有簽章」),需要不可抵賴的日誌鏈,用密碼學方式證明:誰在何時授權了什麼,代理執行了什麼。這是防止 AI 甩鍋、用戶反悔的終極保障。
為什麼現在制定
AI 代理技術已經成熟到「可部署」階段。ChatGPT 的 function calling、Claude 的工具使用、Anthropic 的「代理迴圈」都顯示 LLM 可以穩定執行多步驟行動。金融業急著上線,因為先發者能囤積用戶信任與交易數據。但沒有標準就意味著每家銀行自己設計防護,結果就是「木桶最短板」決定整個生態的安全水位。FIDO 聯盟作為身份驗證的中立陣營,介入此刻的意義在於:搶在大規模部署前釘死標準,就像當年 HTTPS 協議之於網際網路一樣。
更深層的失控風險
新聞提到「防止 AI 代理被劫持」,但真正的失控不只來自外部駭客。一個被「不完美授權」的 AI 代理,可能完全按規則行動但達成了授權人的反面意圖。比如:用戶授權「在 5% 折扣時買榨汁機」,AI 看到詐騙廣告的 5% 折扣就下單了;或授權「根據匯率自動兌換外幣」,AI 在極端波動時執行大額操作導致鉅損。這些都不是「被劫持」,而是「按字面意思執行」的悲劇。標準能解決密碼學層面的驗證,卻無法解決語義層面的對齊問題。