Этот отчет подготовлен Tiger Research. AI-агенты уже могут самостоятельно подписывать контракты, производить платежи и совершать сделки. Но одна проблема остается нерешенной: как вы узнаете, кто именно находится с другой стороны? В этой статье рассматриваются различные подходы четырех участников спора о стандарте KYA и текущее состояние регулирования.
Ключевые моменты
- Искусственные интеллектуальные агенты входят в эпоху автономного выполнения контрактов, платежей и торговли, но на рынке еще нет единого стандарта для проверки идентичности. В сценариях A2A (агент-к-агенту) KYA начинает получать больше внимания, чем KYC.
- KYA не требуется повсеместно. На централизованных платформах, таких как Google, OpenAI, Coinbase, существующего KYC достаточно. KYA действительно необходим при самостоятельном развертывании агентов для подключения к DEX, A2A-платежам и платежам от продавцов.
- Спор стандартов уже начался. ERC-8004, Visa TAP, Trulioo и Sumsub подходят с четырех разных направлений: на цепочке, в платежных сетях, в сфере соответствия требованиям и обнаружения рисков — все пути различны.
- Регулирование уже началось. Закон ЕС об ИИ, NIST США и национальная рамочная модель Сингапура выделили управление идентичностью агентов в качестве приоритета. Правило о путешествиях FATF 2019 года определило, какие криптовалютные биржи выживут, и, скорее всего, сценарий повторится и на этот раз с KYA.
1. Почему именно сейчас
KYC переопределил тот слой финансов
До 1989 года в мировой финансовой системе не существовало единых стандартов идентификации. Этот пробел затруднял отслеживание источников наркоденег и грязных денег. Только с созданием FATF в тот год KYC стал обязательным требованием для финансовой отрасли, отсекая незаконные средства.
В последующие тридцать лет влияние KYC постепенно расширялось. После событий 11 сентября 2001 года были добавлены положения по борьбе с финансированием терроризма, и американский Закон о патриотизме сделал KYC юридическим обязательством. В 2010-е годы были внедрены AMLD ЕС, Базельский договор III и FATCA, и начался автоматический обмен информацией KYC через границы. В 2019 году правило путешествия FATF распространило KYC на поставщиков виртуальных активов.
Каждое расширение заполняет пробел.
Отсутствие агентской идентичности означает откат системы
Вернёмся к настоящему. AI-агенты могут заключать контракты, производить платежи и совершать сделки без присмотра человека, но никто не может подтвердить, кто они.
В среде A2A ответственность неясна. Кто несет ответственность при возникновении проблем — никто не может сказать. Пользователи легко сталкиваются с отмыванием денег и различными видами мошенничества.
Сравнивая финансовую систему до 1989 года с рынком агентов 2026 года, структура поразительно похожа. Тогда анонимные счета перемещались через границы, сегодня неверифицированные агенты совершают A2A-транзакции. Тогда ответственность за верификацию лежала на каждом банке отдельно, сегодня — на каждой платформе отдельно. Общих стандартов нет.
Это сходство не случайность, а закономерность. Технология опередила, а слой идентичности не успел за ней.
Что такое KYA
KYA (Know Your Agent) — это механизм доверия, который заранее проверяет источник, права и ответственность агента.
Пропустив этот шаг, одновременно возникают три риска. Первый — превышение полномочий: пользователь авторизовал только платежи, но агент перемещает активы и заключает контракты за пределами предоставленных полномочий. Второй — подделка личности: злонамеренный агент выдает себя за легитимного, перехватывает платежи, подделывает ответы и крадет репутацию. Третий — вакуум ответственности: после инцидента агент, разработчик и доверитель перекладывают вину друг на друга, и возмещение ущерба становится невозможным.
KYA делает именно то, что блокирует эти три вещи заранее. Предварительная регистрация и проверка диапазона прав, несанкционированные действия блокируются сразу. Проверяется личность и источник, допускаются только легитимные агенты. Источник и доверитель каждого агента привязаны к записи, что позволяет отследить происшествие.
2. Где будет работать KYA?
Не везде это нужно
На централизованных платформах KYA на самом деле не требуется. Пользователи проходят KYC, платформа сама берет на себя ответственность — вся цепочка замкнута.
Требуется KYA в открытой среде за пределами платформы. Агент должен взаимодействовать с DEX, осуществлять A2A-платежи и оплачивать покупки у продавцов. В этот момент никто не гарантирует и не поручается за него.
Возьмем пример. Внутри страны для передвижения достаточно удостоверения личности (KYC). Как только вы пересекаете границу (выйдете за пределы платформы), обстановка меняется — вас должны проверить на пограничном контроле (KYA), чтобы выяснить цель вашего визита и вашу надежность.
Четырехэтапный процесс
Работа KYA может быть разделена на четыре шага. Первые два шага — это «выдача паспорта»: сначала регистрируется идентичность и права агента, после проверки выдается цифровой паспорт. Последние два шага — это «пограничный контроль»: при совершении транзакции подтверждается личность контрагента, а затем обновляется запись на основе результата транзакции.
Identity is not issued once and valid forever; it is re-verified for each transaction.
3. Четыре игрока соревнуются за стандарт
В текущей борьбе за стандарты участвуют четыре игрока, каждый из которых следует совершенно разному пути.
ERC-8004: Превратить идентичность в NFT
ERC-8004 следует чисто цепочечному подходу. Он добавляет слой идентичности поверх ERC-721, где для каждого агента чеканится один NFT в качестве уникального идентификатора.
Сопровождается тремя цепочечными реестрами. Identity отвечает за «кто этот агент», используя уникальный AgentID на основе ERC-721. Reputation отвечает за «можно ли с ним торговать», оставляя оценки, метки и доказательства в цепочке после завершения сделки. Validation отвечает за «сделал ли он это действительно», проверяя с помощью плагинов, таких как zkML и TEE, сторонними проверяющими.
Такая структура не является первой в истории Ethereum. ERC-20 стандартизировал выпуск токенов, на нем выросли USDT, USDC, UNI, AAVE. ERC-721 стандартизировал выпуск NFT, и CryptoPunks, BAYC, ENS поддерживают весь рынок NFT. ERC-8004 должен занять то же место, что и третий стандарт.
Visa TAP: упаковка с использованием платежной сети
Подход Visa совершенно иной. Он выдает агенту удостоверение личности (Agent Intent), аналог карты. Без этого ключа агент не может даже инициировать транзакцию. Visa предварительно одобряет, а затем выдает ключ, и каждая транзакция должна сопровождаться подписью для продавца.
Мерчант получает не один签名, а три. Agent Intent подтверждает легитимность агента и подкрепляется ключами, одобренными VIC. Consumer Recognition указывает, от имени кого он действует, передавая идентификатор пользователя мерчанту. Payment Information обеспечивает платежную гарантию с помощью платежного токена или хешированной информации о карте.
Visa включила эту систему в более крупный пакет под названием Visa Intelligent Commerce (VIC). В него, помимо TAP, входят Agent APIs (собственная технология Visa, используемая при оплате картами), Tokenization (токены, специально предназначенные для ИИ), а также Intelligent Commerce Connect (совместимость с конкурирующими протоколами AP2, ACP, x402 и др.).
Логика ясна. Visa в свое время захватила вход в платежную сеть и теперь хочет включить эпоху агентов в свою систему. Если платежи агентов продолжат использовать карточную сеть, и этот пакет станет вариантом по умолчанию, доля Visa будет защищена.
Trulioo: перенесите эту систему SSL
Trulioo — это игрок на глобальном рынке KYC и KYB-соответствия, который теперь расширил свою систему верификации до KYA.
Он основан на модели веб-сертификатов SSL. SSL — это когда CA (Certificate Authority) выдает TLS-сертификаты веб-сайтам, проверяя только домен. Trulioo предлагает DPA (Digital Passport Authority), которая выдает DAP (Digital Agent Passport) агентам, проверяя KYB разработчика и KYC пользователя.
DAP — это не статический сертификат. Это динамический токен, который обновляется и повторно проверяется при каждой транзакции. Как только доверенность отменяется или обнаруживается аномалия, DAP немедленно аннулируется.
У него пять контрольных точек: Provenance (кто разработал), User Binding (кто авторизовал), Permission Scope (какие действия возможны), Behavior Telemetry (что сейчас происходит), Risk Scoring (оценка риска).
Банки и финтех-компании обязаны по закону проверять личность физических и юридических лиц. Как только агенты выходят на финансовый рынок, позиции Trulioo в области KYC и KYB становятся еще более устойчивыми.
Sumsub: Отслеживайте аномалии, не выдавайте удостоверения
Подход Sumsub отличается от подходов первых трех компаний. Он не выдает стандарты или сертификаты, а повторно проверяет личность пользователя, когда агент обнаруживает подозрительную транзакцию.
Он занимается легальной деятельностью с 2015 года, и эта система верификации теперь используется для обнаружения аномального поведения агентов. Процесс состоит из трех шагов. Сначала проводится автоматизированная детекция, с помощью характеристик устройств и агентов различаются люди и машины. Затем выставляется рейтинг риска — на основе контекста, суммы и исторических данных рассчитывается оценка риска. Наконец, проводится проверка на живость (Liveness), которая запускается только при высоком риске, крупных суммах или критических изменениях, чтобы повторно подтвердить наличие зарегистрированного реального человека.
Четыре особенности Sumsub резко отличают её от других игроков. Её отправной точкой являются合规-операторы, а не разработчики стандартов. Время верификации — при совершении рисковых транзакций, а не при предварительной регистрации. Метод верификации — подтверждение реальным человеком, а не данными или токенами. Философия заключается в связывании агентов с ответственными сторонами, а не в прямом блокировании агентов.
Другие игроки проводят одноразовую аутентификацию до выполнения действий, а Sumsub осуществляет проверку в реальном времени после выдачи удостоверения. Чем шире права агентов, тем важнее обнаружение аномалий. Методы мошенничества развиваются вместе с технологиями, и реальная платформа Sumsub заслуживает внимания.
4. До введения регулирования
Сценарий правила путешествия FATF
После выхода правила о путешествиях FATF в 2019 году отрасль VASP немедленно разделилась. Те, кто смог выдержать затраты на инфраструктуру KYC и AML, выжили, а те, кто не смог, закрылись или переехали в места с более мягким регулированием. CryptoBridge и Deribit также были вынуждены адаптироваться в ту волну.
Регулирование — это не конец, а переломный момент.
KYA этот сценарий может быть таким же. ЕС, Сингапур и США уже борются за лидерство.
Статья 12 закона ЕС об ИИ четко требует, чтобы журналы действий высоко рисковых систем ИИ включали идентификатор оператора. Сингапур выпустил первую в мире национальную рамочную модель управления ИИ-агентами, расширив управление идентичностью на агентов и потребовав, чтобы у каждого агента был подотчетный ответственный. NIST США выделил управление идентичностью агентов в качестве приоритетной области стандартов.
Временной окно сокращается.
Не будет единого победителя
На самом деле ключевым фактором в борьбе за стандарты является не технология, а комбинации. Основные игроки уже перешли к этапу сотрудничества и объединения. Кто будет сотрудничать с какими торговцами, платежными сетями и клиентскими группами KYC, определит принадлежность каждого сегмента рынка.
На этом рынке не будет единого победителя.
В области автономных транзакций в цепочке Ethereum, скорее всего, лидирует. В сценариях транзакций, привязанных к оплате, Visa имеет явное преимущество. В регулируемой финансовой отрасли накопленный опыт Trulioo в области KYC и KYB трудно заменить. Для сценариев транзакций с риском мошенничества более подходящим является реальное обнаружение Sumsub.
Четыре компании не являются прямыми конкурентами, каждая занимает свою территорию. Истинная конкуренция происходит в том, какие сценарии попадут на какую территорию.
KYC с 1989 года до сегодняшнего дня потратил тридцать лет, чтобы завершить идентификационный слой глобальной финансовой системы.
На этой волне темпы, похоже, будут намного быстрее. Регуляторы уже действуют, стандартные игроки уже заняли позиции, и окно возможностей для масштабного развертывания может быть в ближайшие несколько лет.
В итоге выживут не обязательно самые технологически продвинутые, а те, кто первым интегрировал инфраструктуру идентификации.