Isinulat ng Tiger Research ang ulat na ito. Ang mga AI agent ay nakakapag-sign na ng mga kontrata, magpapabayad na, at magpapagawa na ng mga transaksyon. Ngunit may isang problema na hindi pa nalulutas: paano mo malalaman kung sino ang kalaban mong AI agent? Ipinapaliwanag ng artikulong ito ang iba’t ibang estratehiya ng apat na player sa digmaan ng KYA standard, at kung saan na ang regulasyon.
Mga Pangunahing Punto
- Pumasok na ang mga AI agent sa panahon ng pagpapatupad ng mga kontrata, pagbabayad, at pag-trade nang walang tulong, ngunit wala pa ring isang pangkalahatang pamantayan para sa pag-verify ng pagkakakilanlan. Sa mga skenaryo ng A2A (agent-to-agent), ang KYA ay nagsisimulang maging mas pinapansin kaysa kay KYC.
- Hindi kailangan ng KYA sa lahat ng lugar. Sa loob ng sentralisadong platform tulad ng Google, OpenAI, at Coinbase, sapat na ang umiiral na KYC. Kailangan ng KYA ang mga independiyenteng deployment ng agent kapag nag-uugnay sa DEX, A2A payment, at merchant payment.
- Ang digmaan ng mga pamantayan ay nagsimula na. Ang ERC-8004, Visa TAP, Trulioo, at Sumsub ay umuusbong sa apat na iba’t ibang direksyon: sa chain, sa network ng pagbabayad, sa compliance certification, at sa risk detection, na bawat isa ay may iba’t ibang landas.
- Nag-umpisa na ang regulasyon. Ang EU AI Act, ang US NIST, at ang pambansang framework ng Singapore ay naglagay ng pagpapahalaga sa pagpapamahala ng identity ng agent. Ang FATF Travel Rule noong 2019 ang nagdesisyon kung aling mga cryptocurrency exchange ang makakarating, at malamang uulitin ang skrip na ito sa KYA.
1. Bakit ngayon
Ang KYC ay nagbago sa isang antas ng finansyal
Bago ang 1989, walang isang magkakasunod na pamantayan sa pagkilala sa pandaigdigang financial system. Ang puwang na ito ay nagpahirap sa paghahanap sa pinagmulan ng mga pera mula sa droga at mga ilegal na pondo. Hanggang sa taong iyon, nang maitatag ang FATF, naging obligasyon ang KYC sa industriya ng pagsasalapi, at nagsilbing pader laban sa ilegal na pera.
Sa mga sumusunod na 30 taon, ang epekto ng KYC ay umabot nang paulit-ulit. Pagkatapos ng 9/11 noong 2001, idinagdag ang mga tuntunin laban sa pagpapalaganap ng terorismo, at ang USA PATRIOT Act ay isinabuhay ang KYC bilang isang legal na obligasyon. Noong dekada 2010, ang EU AMLD, Basel III, at FATCA ay nagsimulang maipatupad, at nagsimula ang awtomatikong pagbabahagi ng impormasyon sa KYC sa pagitan ng mga bansa. Noong 2019, ang FATF Travel Rule ay nagpalawak sa KYC patungo sa mga tagapagbigay ng virtual na ari-arian.
Bawat pagpapalawak ay isang pagpuno sa isang kulang.
Walang identity ng agent, bumabalik ang sistema
Balik sa ngayon. Ang AI agents ay hindi kailangan ng tao na pansinin; sila mismo ang nakakasign ng kontrata, nagbabayad, at nagtitiwala. Pero walang makakapag-verify kung sino sila.
Sa loob ng A2A environment, malinaw ang pagkakasala. Sino ang sasagot kapag may problema, wala naman ang alam. Madali ring makakasalubong ng mga user ang money laundering at iba’t ibang uri ng scam.
Ipagkukumpara ang financial system bago ang 1989 at ang market ng agents noong 2026, ang istruktura ay nakakatatakot na magkakatulad. Noon, ang anonymous accounts ang naglalakbay sa transaksyon sa ibang bansa, ngayon naman, ang unverified agents ang nagtatrabaho sa A2A transactions. Noon, ang responsibilidad sa verification ay nasa bawat banko, ngayon naman, nasa bawat platform. Walang karaniwang pamantayan.
Hindi ito pagkakasunduan, kundi isang pattern. Ang teknolohiya ay nanguna, ngunit ang layer ng pagkakakilanlan ay hindi nakasabay.
Ano ang KYA
Ang KYA (Know Your Agent) ay isang mekanismo ng pagkakatiwala na nagpapatotoo sa pinagmulan, awtoridad, at pagkakasalang ng agent bago pa man.
Skip this step, at the same time three risks emerge. The first is unauthorized trading: users only authorized payment, but the agent moves assets and signs contracts outside the scope. The second is identity spoofing: malicious agents impersonate legitimate ones, hijack payments, forge responses, and steal reputation. The third is a liability vacuum: after an incident occurs, the agent, developer, and principal blame each other, making compensation impossible to pursue.
Ang KYA ay nagpapalabas ng tatlong bagay na ito sa harap. Ipre-rehistro at i-verify ang sakop ng pahintulot, at i-block ang anumang aksyon na labas sa sakop. I-verify ang pagkakakilanlan at pinagmulan, at pahintulutan lamang ang mga legal na agent. Ang bawat pinagmulan at tagapag-utos ng bawat agent ay nakabatay sa tala, kaya maaring masuri kung may mangyari.
2. Saan dapat gumana ang KYA?
Hindi lahat ng lugar ang kailangan
Hindi talaga kailangan ng KYA ang sentralisadong platform. Kapag nag-KYC na ang user, ang platform mismo ang nag-aalok ng proteksyon, at ang buong proseso ay isang saradong loop.
Ang kailangan ng KYA ay ang bukas na kapaligiran pagkatapos lumabas sa platform. Dapat mag-interface ang agent sa DEX, gawin ang A2A payment, at magbayad sa mga negosyante. Sa puntong iyon, walang nagtitiyak at walang makakapag-amin para sa kanya.
Halimbawa: Sa loob ng isang bansa, sapat na ang pambansang ID (KYC). Ngunit kapag lumabas ka sa hangganan (labas ng platform), nagbabago ang kaligiran—kailangan mong magsumbong sa pinto ng pagsisikat (KYA), at ipaliwanag ang iyong layunin at kapanipaniwalaan.
Apat na hakbang na proseso
Ang pagpapatakbo ng KYA ay maaaring hatiin sa apat na hakbang. Ang dalawang unang hakbang ay "paglabas ng pasaporte": una ay rehistrado ang identity at mga pahintulot ng agent, at pagkatapos ng pag-verify, ibinibigay ang digital na pasaporte. Ang dalawang huling hakbang ay "pag-check sa pagpasok": kapag nangyayari ang transaksyon, kumpirmahin ang identity ng kalaban, at pagkatapos ay i-update ang rekord batay sa resulta ng transaksyon.
Hindi permanent ang pagkakakilanlan mula sa isang pagkakalabas; ito ay muling sinusuri sa bawat transaksyon.
3. Apat na manlalaro ang nagsisikap makakuha ng standard
Sa digmaan ng mga pamantayan, mayroong apat na mga manlalaro na may iba’t ibang landas.
ERC-8004: Gawing NFT ang identity
Ang ERC-8004 ay sumusunod sa isang pure on-chain na pagkakabuo. Ipinapagdagdag nito ang isang layer ng pagkakakilanlan sa ibabaw ng ERC-721, kung saan bawat agent ay may nakapag-铸造 na NFT bilang natatanging ID.
May tatlong on-chain registry: ang Identity ay responsable sa "Sino ang smart agent na ito," batay sa unique na AgentID na batay sa ERC-721. ang Reputation ay responsable sa "Kaya mo ba itong i-trade," kung saan ang rating, label, at ebidensya ay iiiwan sa blockchain pagkatapos ng transaksyon. ang Validation ay responsable sa "Totoo ba na ginawa nito ang aking gawain," na pinapatotohanan ng mga third-party verifier gamit ang mga plugin tulad ng zkML at TEE.
Hindi ito ang unang beses na nagkakaroon ng ganitong istruktura sa kasaysayan ng Ethereum. Sinanay ng ERC-20 ang paglabas ng mga token, at sa itaas nito lumago ang USDT, USDC, UNI, at AAVE. Sinanay ng ERC-721 ang paglabas ng mga NFT, at ang CryptoPunks, BAYC, at ENS ang nagtataguyod ng buong merkado ng NFT. Ang papel na gagampanan ng ERC-8004 ay ang parehong posisyon bilang ikatlong pamantayan.
Visa TAP: I-package ang payment network
Ang paraan ng Visa ay lubos na iba. Ibinibigay nito ang isang identity credential (Agent Intent) sa agent, katulad ng isang card. Walang key na ito, hindi makapagsisimula ng transaksyon ang agent. Binibigyan muna ng pahintulot ng Visa bago ibigay ang key, at kailangan ng bawat transaksyon na dala ang signature para sa merchant.
Hindi isang signatura ang natanggap ng merchant, kundi tatlo. Ang Agent Intent ay patotoo na legal ang agent, na sinuportahan ng key na pinagbigyan ng pahintulot ng VIC. Ang Consumer Recognition ay nagpapaliwanag kung sino ang kinakatawan nito, at ipinapadala ang user identifier sa merchant. Ang Payment Information ay nagbibigay ng garantiya sa pagbabayad, na nagtatapos sa pag-authenticate gamit ang payment token o hashed card information.
Isinama ng Visa ang lahat ng ito sa isang mas malaking pakete na tinatawag na Visa Intelligent Commerce (VIC). Bukod sa TAP, kasama rito ang Agent APIs (ang sariling teknolohiya ng Visa para sa paggamit ng Visa card), Tokenization (ang token na espesyal para sa AI), at Intelligent Commerce Connect (na compatible sa mga kompetitor na protokolo tulad ng AP2, ACP, at x402).
Malinaw ang lohika. Noong unang panahon, nakakuha ang Visa ng entry point sa network ng pagbabayad, at ngayon ay gustong isama rin nito ang era ng agent sa sariling track. Kung patuloy na gagamitin ng pagbabayad ng agent ang network ng card, at ang bundle na ito ay maging default option, mananatili ang bahagi ng Visa.
Trulioo: I-transfer ang SSL setup
Ang Trulioo ay isang player sa global na KYC, KYB compliance space, at ngayon ay ipinapalawig ang kanilang verification stack patungo sa KYA.
Ito ay nakabatay sa modelo ng SSL certificate ng website. Ang SSL ay nagbibigay ng TLS certificate mula sa CA (Certificate Authority) na nag-verify lamang ng domain name. Ang Trulioo ay nagmungkahi ng DPA (Digital Passport Authority) na magbibigay ng DAP (Digital Agent Passport) sa mga agent, na nag-verify ng KYB ng developer at KYC ng user.
Hindi isang static na sertipiko ang DAP. Ito ay isang aktibong token na nag-refresh, na binabale-wala muli sa bawat transaksyon. Agad na mawawala ang DAP kung ang pagtataguyod ay tinanggal o kung mayroong anumang anomali.
Mayroon itong limang checkpoint: Provenance (sino ang nagawa), User Binding (sino ang nag-awas), Permission Scope (ano ang maaaring gawin), Behavior Telemetry (ano ang kasalukuyang ginagawa), Risk Scoring (antas ng panganib).
Kailangan ng mga banko at fintech na patunayan ang pagkakakilanlan ng mga tao at kumpanya ayon sa batas. Kapag pumasok ang mga agent sa larangan ng pondo, mas masigla ang posisyon ng Trulioo sa KYC at KYB.
Sumsub: I-monitor ang anomaliya, huwag maglabas ng lisensya
Ang pagpasok ng Sumsub ay iba sa mga nakaraang tatlo. Hindi ito nagbibigay ng mga pamantayan o sertipiko, kundi nagrerewiew ng tao sa likod kapag may anomaliya sa transaksyon ng agent.
Nagpapatakbo na ito ng legal na negosyo mula noong 2015, at ang sistema ng pag-verify na iyon ay ginagamit ngayon upang matukoy ang anomalous na pag-uugali ng mga agent. Ang proseso ay may tatlong hakbang. Una, ang automated detection, kung saan ginagamit ang mga device at mga katangian ng agent upang ibahin ang tao at machine. Pansin, ang risk scoring, kung saan binibigyan ng risk score gamit ang konteksto, halaga, at historical data. At huli, ang Liveness verification, na nagpapatakbo lamang sa mataas na panganib, malaking halaga, at mahalagang pagbabago, upang muling i-verify ang nakarehistrong tunay na tao.
Ang apat na katangian ng Sumsub ay nagtataglay ng malaking pagkakaiba sa mga ibang laro. Ang kanilang simula ay ang mga operador na sumusunod sa batas, hindi ang mga tagapagtakda ng istandard. Ang pagpapatotoo ay nangyayari sa panahon ng panganib na transaksyon, hindi bago ang rehistrasyon. Ang paraan ng pagpapatotoo ay ang pagpapatotoo ng tao, hindi ang data o token. Ang pilosopiya ay ang pagkakabindigan ng agent sa responsable, hindi ang pagpapahinto sa agent nang direkta.
Ang iba pang mga user ay nagpapasa ng isang beses na pag-verify bago gumawa ng anumang aksyon, samantalang ang Sumsub ay nagpapagawa ng real-time verification pagkatapos ng paglabas ng lisensya. Mas mahalaga ang anomaly detection habang lumalawak ang mga pagsasagawa ng mga agent. Ang mga paraan ng pang-aabuso ay sumusunod sa pag-unlad ng teknolohiya, at ang real-time stack ng Sumsub ay值得关注。
4. Bago magkaroon ng regulasyon
Scenarion ng Travel Rule ng FATF
Noong ipinakilala ang FATF Travel Rule noong 2019, agad na nagkaron ng pagkakahati-hati sa industriya ng VASP. Ang mga nakakapag-antok sa gastos ng mga imprastruktura ng KYC at AML ay nabuhay, habang ang mga hindi nakakapag-antok ay isara o lumipat sa mga lugar na may mas maliit na regulasyon. Ang CryptoBridge at Deribit ay parehong pinilit na baguhin ang kanilang operasyon sa alon na iyon.
Hindi ang regulasyon ang hangganan, kundi ang tuldok ng pagkakahati.
Maaaring pareho ang skrip na ito ni KYA. Ang EU, Singapore, at Estados Unidos ay naghahabol na ng unang posisyon.
Ang Section 12 ng EU AI Act ay nagsasaad na ang mga log ng pagkilos ng mga mataas na panganib na AI system ay dapat kasama ang identidad ng tagapag-operate. Ang Singapore ay naglabas ng unang pambansang framework para sa paggawa ng pamamahala sa AI agent sa buong mundo, na nagpapalawak ng pagmamahalaga sa identidad patungo sa mga agent, at nagsasabing kailangan ng bawat agent na may responsable. Ang NIST ng Estados Unidos ay isinasaalang-alang ang pagmamahalaga sa identidad ng agent bilang isang prioritized na larangan ng pamantayan.
Nagpapaliit na ang time window.
Walang iisang mananalo
Ang tunay na variable sa digmaan ng mga pamantayan ay hindi ang teknolohiya, kundi ang kombinasyon. Ang mga pangunahing player ay nasa fase ng pakikipagtulungan at pagkakasundo. Ang pagpapairal ng bawat isa sa mga negosyo, network ng pagbabayad, at mga customer na may KYC ang magdedesisyon kung sino ang mamamayanan sa bawat segment.
Hindi magkakaroon ng iisang tagapagpanalo sa merkado na ito.
Sa field ng on-chain self-trading, malaki ang posibilidad na nangunguna ang Ethereum. Sa mga transaksyon na may kaugnayan sa pagbabayad, malinaw ang kahalagahan ng Visa. Sa reguladong industriya ng finansya, mahirap palitan ang mga karanasan ni Trulioo sa KYC at KYB. Sa mga transaksyon na may panganib ng fraud, mas angkop ang real-time detection ni Sumsub.
Ang apat na kompanya ay hindi direktang kalaban; bawat isa ay may sariling teritoryo. Ang totoong kompetisyon ay nangyayari sa mga sitwasyon kung saan ang mga ito ay isinasama sa anumang teritoryo.
Ang KYC ay gumamit ng tatlong Dekada mula 1989 hanggang ngayon upang matapos ang identity layer ng global na financial system.
Sa本轮 na pagtaas, parang mas mabilis ang ritmo. Nagsimula na ang regulasyon, nakaayos na ang mga karaniwang player, at ang window ng pagpapalawak ay maaaring ang mga susunod na taon.
Ang mga makakarating sa huling bahagi ay hindi laging ang may pinakamalakas na teknolohiya, kundi ang mga unang nag-integrate ng infrastruktura ng pagkakakilanlan.