Accueil
Actualités
Détails

Tiger Research : Les normes KYA pour les agents IA gagnent en ampleur face à la pression réglementaire

iconOdaily
Partager
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconRésumé

expand icon
Tiger Research note une augmentation de l'intérêt pour les normes KYA alors que les agents IA gèrent davantage de transactions autonomes. Avec l'essor des altcoins à suivre, l'absence de vérifications d'identité dans les interactions A2A attire l'attention des régulateurs. Des normes comme ERC-8004 et Visa TAP émergent au milieu des préoccupations croissantes reflétées dans l'indice de peur et de cupidité. L'UE, les États-Unis et Singapour poussent à des règles plus claires sur l'identité des agents IA, similaires aux précédentes régulations sur les crypto-monnaies.

Ce rapport a été rédigé par Tiger Research. Les agents IA sont désormais capables de signer des contrats, de payer et d'effectuer des transactions eux-mêmes. Mais un problème reste non résolu : comment savoir qui est réellement l'autre agent en face ? Cet article examine les stratégies respectives des quatre acteurs impliqués dans le débat sur les normes KYA, ainsi que l'avancement de la réglementation.

Points clés

  1. Les agents IA entrent dans une ère d'exécution autonome de contrats, de paiements et de transactions, mais il n'existe encore aucune norme unifiée pour vérifier l'identité. Dans les scénarios A2A (agent à agent), KYA commence à surpasser KYC en importance.
  2. KYA n'est pas nécessaire partout. Sur des plateformes centralisées comme Google, OpenAI ou Coinbase, le KYC existant suffit. KYA est véritablement nécessaire lorsqu'il s'agit d'agents autonomes se connectant à des DEX, à des paiements A2A ou à des paiements marchands.
  3. La bataille des normes a commencé. ERC-8004, Visa TAP, Trulioo et Sumsub abordent respectivement la chaîne, les réseaux de paiement, l'authentification de conformité et la détection des risques, avec des approches totalement différentes.
  4. La régulation a déjà agi. Le règlement européen sur l’IA, le NIST américain et le cadre national de Singapour ont tous classé la gestion des identités d’agents comme une priorité. La règle de voyage de la GAFI en 2019 a déterminé quels échanges de cryptomonnaies ont survécu ; il est très probable que le même scénario se répète avec KYA.

1. Pourquoi maintenant

KYC a redéfini le niveau financier

Avant 1989, le système financier mondial n'avait pas de norme d'identité unifiée. Ce vide a rendu difficile la traçabilité des fonds issus de la drogue et de l'argent noir. Jusqu'à ce que la FATF soit créée cette année-là, le KYC devienne une exigence obligatoire dans le secteur financier, écartant ainsi les fonds illégaux.

Au cours des trente années suivantes, l'impact du KYC s'est étendu progressivement. Après les attentats du 11 septembre 2001, des dispositions contre le financement du terrorisme ont été ajoutées, et la loi patriotique américaine a fait du KYC une obligation légale. Dans les années 2010, les directives AMLD de l'Union européenne, le Basel III et le FATCA ont été progressivement mises en œuvre, permettant l'échange automatique d'informations KYC transfrontalières. En 2019, la règle de voyage du FATF a étendu le KYC aux fournisseurs d'actifs virtuels.

Chaque extension remplit un vide.

Sans identité d'agent, le système rétrograde

Revenons à maintenant. Les agents IA peuvent signer des contrats, effectuer des paiements et trader sans qu'aucun humain ne les surveille. Mais personne ne peut vérifier qui ils sont.

Dans un environnement A2A, la répartition des responsabilités est floue. Personne ne sait à qui s'adresser en cas de problème. Les utilisateurs sont également facilement exposés au blanchiment d'argent et à diverses formes d'escroquerie.

Comparer les finances avant 1989 avec le marché des agents intelligents en 2026 révèle une structure étonnamment similaire. À l'époque, des comptes anonymes circulaient transfrontalièrement ; aujourd'hui, des agents non vérifiés effectuent des transactions A2A. La responsabilité de la vérification reposait alors sur chaque banque individuellement ; aujourd'hui, elle repose sur chaque plateforme individuellement. Aucune norme commune n'existe.

Cette similitude n'est pas une coïncidence, c'est une règle. La technologie a avancé en premier, la couche d'identité n'a pas suivi.

Qu'est-ce que KYA ?

KYA (Know Your Agent) est un mécanisme de confiance qui vérifie à l'avance l'origine, les autorisations et la responsabilité de l'agent.

Sauter cette étape fait apparaître trois risques simultanément. Le premier est la transaction hors autorisation : l'utilisateur n'a autorisé que le paiement, mais l'agent déplace des actifs ou signe des contrats hors champ. Le second est la falsification d'identité : un agent malveillant se fait passer pour légitime, intercepte les paiements, fabrique des réponses et s'approprie la réputation. Le troisième est le vide de responsabilité : après un incident, l'agent, le développeur et le mandant se renvoient la balle, rendant toute réparation impossible à déterminer.

KYA consiste à verrouiller à l'avance ces trois éléments : enregistrer et valider les limites d'autorisation à l'avance, et bloquer directement les actions hors de ces limites. Vérifier l'identité et la source, et n'autoriser que les agents légitimes. La source et le mandant de chaque agent sont liés dans les enregistrements, permettant une traçabilité en cas d'incident.

2. Où KYA doit-il fonctionner ?

Pas partout n'est nécessaire

Les plateformes centralisées n'ont pas vraiment besoin de KYA. Les utilisateurs ont effectué le KYC, et la plateforme assure elle-même la garantie ; tout le processus est bouclé.

Ce qui nécessite KYA, c'est l'environnement ouvert hors plateforme. L'agent doit se connecter à des DEX, effectuer des paiements A2A et payer des commerçants. À ce moment-là, personne ne garantit ni ne prend en charge ses actions.

Par exemple, à l'intérieur d'un pays, une pièce d'identité (KYC) suffit. Dès que vous traversez une frontière (quittez la plateforme), l'environnement change et vous devez passer par le contrôle à l'entrée (KYA), en expliquant clairement votre intention et votre crédibilité.

Processus en quatre étapes

Le fonctionnement de KYA peut être décomposé en quatre étapes. Les deux premières sont l'« émission de passeport » : d'abord, enregistrer l'identité et les autorisations de l'agent, puis délivrer un passeport numérique après vérification. Les deux dernières sont l'« examen à l'entrée » : confirmer l'identité de l'autre partie lors d'une transaction, puis mettre à jour les enregistrements selon le résultat de la transaction.

L'identité n'est pas délivrée une fois pour toutes, mais est vérifiée à nouveau à chaque transaction.

3. Quatre joueurs se disputent la norme

Il y a actuellement quatre acteurs en lutte pour les normes, avec des chemins totalement différents.

ERC-8004 : Transformer l'identité en NFT

ERC-8004 suit une approche entièrement sur chaîne. Il ajoute une couche d'identité au-dessus d'ERC-721, où chaque agent est doté d'un NFT unique en tant qu'identifiant.

Trois registres sur chaîne sont associés : Identity gère "qui est cet agent", via un AgentID unique basé sur ERC-721. Reputation gère "si l'on peut faire affaire avec lui", en laissant des notes, des étiquettes et des preuves sur chaîne après chaque transaction. Validation gère "s'il a vraiment accompli cette action", en vérifiant via des plugins tels que zkML ou TEE par des validateurs tiers.

Ce schéma n'est pas la première fois qu'il apparaît dans l'histoire d'Ethereum. ERC-20 a standardisé l'émission de jetons, et USDT, USDC, UNI, AAVE ont tous été construits dessus. ERC-721 a standardisé l'émission de NFT, avec CryptoPunks, BAYC, ENS soutenant tout le marché NFT. ERC-8004 doit jouer le rôle du troisième standard à cet endroit.

Visa TAP : Emballage via le réseau de paiement

La démarche de Visa est complètement différente. Elle délivre un identifiant d'agent (Agent Intent) à chaque agent, équivalent à une carte. Sans cette clé, l'agent ne peut même pas initier une transaction. Visa approuve au préalable avant de délivrer la clé, et chaque transaction doit être accompagnée d'une signature destinée au commerçant.

Le commerçant reçoit non pas un seul signataire, mais trois. Agent Intent prouve la légitimité de l'agent, attestée par une clé approuvée par VIC. Consumer Recognition indique pour qui il travaille, en transmettant l'identifiant utilisateur au commerçant. Payment Information fournit une garantie de paiement, en effectuant l'authentification à l'aide d'un jeton de paiement ou d'informations de carte hachées.

Visa a intégré tout cela dans un ensemble plus vaste appelé Visa Intelligent Commerce (VIC). En plus de TAP, il comprend des Agent APIs (la technologie propriétaire de Visa utilisée lors de l'utilisation de cartes Visa), la tokenisation (des jetons dédiés à l'IA) et Intelligent Commerce Connect (compatible avec les protocoles concurrents AP2, ACP, x402, etc.).

La logique est claire. Visa a autrefois saisi l'entrée du réseau de paiement et souhaite maintenant intégrer l'ère des agents intelligents dans son propre écosystème. Si les paiements par agents continuent de passer par le réseau de cartes et que ce modèle devient l'option par défaut, la part de Visa sera préservée.

Trulioo : appliquez le même système SSL

Trulioo est un acteur sur le marché mondial de la conformité KYC et KYB, et étend désormais son stack de vérification à la KYA.

Il s'inspire du modèle des certificats SSL des sites web. Le SSL consiste en un certificat TLS délivré par une AC (Autorité de certification) à un site web, vérifiant uniquement le domaine. Trulioo propose une AID (Autorité de passeport numérique) qui délivre un PDA (Passeport d'agent numérique) aux agents, vérifiant le KYB du développeur et le KYC de l'utilisateur.

DAP n'est pas un certificat statique. C'est un token dynamique qui se rafraîchit et est révalidé à chaque transaction. Dès qu'une délégation est révoquée ou qu'une anomalie est détectée, le DAP est immédiatement annulé.

Il comporte cinq points de contrôle : Provenance (qui a développé), User Binding (qui a autorisé), Permission Scope (quelles actions sont autorisées), Behavior Telemetry (ce qu'il fait actuellement), Risk Scoring (évaluation des risques).

Les banques et la fintech sont légalement tenues de vérifier l'identité des particuliers et des entreprises. Une fois que les agents pénètrent dans le domaine financier, la position de Trulioo en matière de KYC et KYB devient encore plus solide.

Sumsub : Surveiller les anomalies, ne pas délivrer de certificat

La approche de Sumsub est différente des trois précédentes. Elle ne délivre pas de normes ni de certificats, mais réexamine l'identité de la personne derrière un agent lorsqu'une transaction anormale est détectée.

Il opère dans la conformité depuis 2015, et ce système de vérification est désormais utilisé pour détecter les comportements anormaux des agents. Le processus se déroule en trois étapes. Tout d'abord, une détection automatisée qui distingue les humains des machines à l'aide d'attributs d'appareil et d'agent. Ensuite, une évaluation des risques qui attribue un score en combinant le contexte, le montant et les données historiques. Enfin, une vérification Liveness, déclenchée uniquement en cas de risque élevé, de montants importants ou de changements critiques, pour réauthentifier la personne réelle enregistrée.

Les quatre caractéristiques de Sumsub se distinguent nettement de celles des autres acteurs. Son point de départ est un opérateur conforme, et non un établisseur de normes. Le moment de vérification intervient lors de transactions à risque, et non lors de l'inscription préalable. La méthode de vérification repose sur une confirmation par une personne réelle, et non sur des données ou des jetons. Sa philosophie consiste à lier l'agent à la partie responsable, et non à bloquer directement l'agent.

Les autres joueurs effectuent une authentification unique avant d'agir, tandis que Sumsub effectue une vérification en temps réel après l'émission. Plus les autorisations des agents s'étendent, plus la détection des anomalies devient cruciale. Les méthodes d'escroquerie évoluent avec la technologie ; la pile en temps réel de Sumsub mérite attention.

4. Avant la mise en œuvre de la réglementation

Scénario de la règle de voyage de la FATF

Lorsque la règle de voyage de la FATF a été publiée en 2019, l'industrie des VASP s'est immédiatement divisée. Ceux qui ont pu supporter les coûts des infrastructures KYC et AML ont survécu, tandis que les autres ont fermé ou déplacé leurs opérations vers des juridictions à réglementation plus souple. CryptoBridge et Deribit ont tous deux été contraints de s'ajuster lors de cette vague.

La régulation n'est pas une fin, mais une ligne de partage.

KYA ce scénario pourrait être le même. L'Union européenne, Singapour et les États-Unis se battent déjà pour prendre une avance.

L'article 12 de la loi européenne sur l'IA exige explicitement que les journaux d'activité des systèmes d'IA à haut risque incluent l'identité de l'opérateur. Singapour a publié le premier cadre de gouvernance de l'IA pour agents au niveau national au monde, étendant la gestion de l'identité aux agents et exigeant qu'un responsable responsable soit désigné pour chaque agent. Le NIST américain a classé la gestion de l'identité des agents parmi les domaines prioritaires pour les normes.

La fenêtre temporelle se réduit.

Il n'y aura pas de gagnant unique

La véritable variable dans la bataille des normes n'est pas la technologie, mais la combinaison. Les principaux acteurs sont déjà entrés dans une phase de collaboration et de combinaison. Qui s'associera avec quels commerçants, réseaux de paiement et populations de clients KYC déterminera l'appartenance à chaque segment de marché.

Il n'y aura pas de gagnant unique sur ce marché.

Pour les transactions autonomes sur chaîne, Ethereum a de fortes chances de mener. Pour les scénarios de transaction liés aux paiements, Visa présente un avantage net. Dans le secteur financier réglementé, les accumulations de KYC et KYB de Trulioo sont difficiles à remplacer. Pour les scénarios de transaction à risque de fraude, la détection en temps réel de Sumsub est plus adaptée.

Les quatre entreprises ne sont pas des concurrents directs ; chacune occupe un territoire distinct. La véritable concurrence se joue sur la délimitation des scénarios qui tombent dans quel territoire.

KYC a mis trente ans, de 1989 à aujourd'hui, pour compléter la couche d'identité du système financier mondial.

Cette fois-ci, le rythme semble beaucoup plus rapide. Les autorités de régulation ont déjà agi, les acteurs traditionnels se sont positionnés, et la fenêtre de déploiement à grande échelle pourrait être les prochaines années.

Ceux qui survivront ne seront pas nécessairement les plus techniques, mais ceux qui auront intégré les infrastructures d'identité en premier.

Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations. Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.