Bu rapor Tiger Research tarafından hazırlanmıştır. Yapay zeka ajanları artık kendi kendine sözleşme imzalayabiliyor, kendi kendine ödeme yapabiliyor ve kendi kendine işlem yapabiliyor. Ancak çözülmemiş bir sorun var: Karşıdaki ajanın kim olduğunu nasıl biliyorsunuz? Bu makale, KYA standardı mücadelesindeki dört oyuncunun farklı stratejilerini ve düzenleyicilerin nerede olduğunu inceliyor.
Ana Noktalar
- AI ajanları, sözleşmeleri, ödemeleri ve işlemleri kendi kendine yürütmeye başladığında, piyasada kimlik doğrulama için standart bir yöntem henüz yok. A2A (ajan-ajan) senaryolarında, KYA, KYC'den daha çok dikkat çekmeye başlıyor.
- KYA her yerde gerekli değildir. Google, OpenAI, Coinbase gibi merkezi platformlar içinde mevcut KYC yeterlidir. Gerçekten KYA'ya ihtiyaç duyulan, bağımsız olarak dağıtılmış ajanların DEX'lere, A2A ödemelere ve ticari ödemelere bağlandığı durumlardır.
- Standart mücadelesi başlamıştır. ERC-8004, Visa TAP, Trulioo ve Sumsub sırasıyla zincir üzerinde, ödeme ağlarında, uyumluluk onayında ve risk tespitinde farklı yollar izlemektedir.
- Düzenleyiciler harekete geçti. Avrupa Birliği AI Yasası, ABD NIST ve Singapur ulusal çerçevesi, kimlik yönetimi için öncelikli konular olarak belirledi. 2019 FATF Seyahat Kuralı, hangi kripto borsalarının hayatta kalacağını belirledi; KYA bu sefer büyük olasılıkla aynı senaryoyu yaşayacak.
1. Neden şimdi
KYC, finansın o katmanını yeniden şekillendirdi
1989 yılından önce küresel finansda tek bir kimlik standardı yoktu. Bu boşluk, uyuşturucu paralarının ve kara paralarının köklerine ulaşılmasını zorlaştırıyordu. O yıl FATF kurulana kadar KYC, finans sektöründe zorunlu bir gereklilik haline gelmedi ve yasadışı fonların dışarıda tutulmasını sağlamadı.
Son otuz yıl içinde KYC etkisi katman katman genişledi. 2001'de 9/11'den sonra terörist finansmanla mücadele hükümleri eklendi ve ABD'nin Patriot Yasası KYC'yi yasal bir zorunluluk haline getirdi. 2010'larda Avrupa Birliği AMLD, Basel III ve FATCA sırayla yürürlüğe girdi ve sınır ötesi KYC bilgileri otomatik olarak paylaşilmaya başlandı. 2019'da FATF Seyahat Kuralı, KYC'yi sanal varlık hizmet sağlayıcılarına uzattı.
Her uzatma, bir boşluğu doldurmaktır.
Sistem, bir ajan kimliği olmadan geriliyor.
Şimdiye dönelim. AI ajanları, insanlar tarafından izlenmeden kendi kendilerine sözleşme imzalayabilir, ödeme yapabilir ve işlem yapabilir. Ancak kim olduklarını doğrulayabilecek kimse yok.
A2A ortamında sorumluluk belirsizdir. Sorun yaşandığında kimden sorumlu tutulacağı net değildir. Kullanıcılar, para aklama ve çeşitli dolandırıcılık türleriyle kolayca karşılaşabilir.
1989 yılından önceki finans ile 2026 yılındaki agenç pazarını yan yana koyduğumuzda, yapılar şaşırtıcı derecede benzer. O dönemde anonim hesaplar sınır ötesi akışlarda bulunuyordu, bugün ise doğrulanmamış agençler A2A ticaretinde yer alıyor. O dönemde doğrulama sorumluluğu her bankanın kendi elindeydi, bugün ise her platformun kendi elinde. Ortak bir standart yok.
Bu benzerlik tesadüf değil, bir kural. Teknoloji öne çıktı, kimlik katmanı yetişemedi.
KYA nedir
KYA (Know Your Agent), ajanın kaynaklarını, yetkilerini ve sorumluluklarını önceden doğrulayan bir güvenirlik mekanizmasıdır.
Bu adımı atlayın, üç risk aynı anda ortaya çıkar. İlk olarak yetki aşımlı işlem: kullanıcı yalnızca ödeme yetkisi vermiş, ancak aganın varlıkları hareket ettirip, dışındaki sözleşmeler imzalaması. İkincisi kimlik sahteciliği: kötü niyetli aganın legítim bir aga gibi davranarak ödemeleri ele geçirmesi, yanıtları sahteleştirmesi ve itibarı çalması. Üçüncüsü sorumluluk boşluğu: olay yaşandığında, aga, geliştirici ve temsilci birbirini suçlayarak tazminat talepleri takip edilemez hale gelir.
KYA, bu üç şeyi önceden kilitler. Önceden kayıt ve yetki kapsamlarını doğrular, yetki dışındaki işlemler doğrudan engellenir. Kimlik ve kaynak doğrulanır, yalnızca yasal ajanlar içeri alınır. Her ajanın kaynağı ve yetkilendiricisi kayıtlara bağlanır, sorun durumunda izlenebilir.
2. KYA nerede çalışacaktır?
Her yerde gerekli değil
Merkezi platformlarda KYA'nın aslında pek gerekli değildir. Kullanıcılar KYC'yi tamamladı, platform kendi kendine garanti veriyor, tüm süreç kapalı bir döngü halinde.
KYA'nın gerektiği, platformun dışındaki açık ortamdır. Ajanlar DEX'lerle entegre olmalı, A2A ödemeler yapmalı ve ticaretçilere ödeme yapmalıdır. Bu sırada kimse garanti vermez veya onun yerine teminat veremez.
Bir örnek verelim. Bir ülke içinde hareket ederken kimlik kartı (KYC) yeterlidir. Sınırı aşarsanız (platformdan çıkarsanız), ortam değişir ve sınırda denetimden geçmeniz gerekir (KYA), amaç ve güvenilirliğinizi açıklayarak.
Dört adımlık süreç
KYA'nın işleyişi dört adımda ayrılır. İlk iki adım "pasaport verme": önce ajanın kimliği ve yetkileri kaydedilir, doğrulama tamamlandıktan sonra dijital pasaport verilir. Son iki adım "giriş denetimi": işlem gerçekleştiğinde karşı tarafın kimliği doğrulanır ve işlem sonucuna göre kayıtlar güncellenir.
Kimlik, bir kez verildikten sonra kalıcı değildir; her işlemde yeniden doğrulanır.
3. Dört oyuncu standartı kaçırmak için yarışıyor
Şu anda standart mücadelesinde dört oyuncu var ve yolları tamamen farklı.
ERC-8004: Kimliği NFT Yapın
ERC-8004, tamamen zincir üstü bir yaklaşım izler. ERC-721 üzerine bir kimlik katmanı ekler ve her bir ajan, benzersiz bir kimlik olarak bir NFT çıkarılır.
Üç adet zincir üstü kayıt defteri mevcuttur. Identity, "bu agentin kim olduğu" sorusunu, ERC-721 tabanlı benzersiz AgentID ile yönetir. Reputation, "onunla işlem yapılıp yapılamayacağı" sorusunu, işlem tamamlandıktan sonra zincir üstü puanlama, etiketleme ve kanıt bırakarak yönetir. Validation, "o şeyi gerçekten yaptı mı" sorusunu, üçüncü taraf doğrulayıcılar tarafından zkML, TEE gibi eklentilerle kontrol eder.
Bu yapı, Ethereum tarihinde ilk kez değil. ERC-20, token emisyonunu standartlaştırdı ve USDT, USDC, UNI, AAVE hepsi bunun üzerine inşa edildi. ERC-721, NFT emisyonunu standartlaştırdı ve CryptoPunks, BAYC, ENS tüm NFT piyasasını destekledi. ERC-8004, aynı konumda üçüncü standart olarak rol alacak.
Visa TAP: Ödeme ağı ile paketleme
Visa'nın yaklaşımı tamamen farklı. Akıllı ajanlara bir kimlik belgesi (Agent Intent) verir, bu da bir kart gibidir. Bu anahtar olmadan, akıllı ajanlar işlem başlatamaz. Visa, anahtarı vermeden önce onay verir ve her işlemde imzalı olarak tüccara sunulur.
Ticaret yapan taraf bir imza değil, üç tane alır. Agent Intent, VIC tarafından onaylanan anahtarlarla temsilcinin legimitasını kanıtlar. Consumer Recognition, kullanıcının kimin adına işlem yaptığını belirtir ve kullanıcı tanımlayıcısını ticaret yapan tarafa iletir. Payment Information, ödeme tokeni veya şifrelenmiş kart bilgileri kullanarak ödeme garantisi sağlar.
Visa, bu sistemi Visa Intelligent Commerce (VIC) adlı daha büyük bir pakete dahil etti. Bu paketin içinde TAP'in yanı sıra Agent APIs (Visa kartlarının çalıştığı kendi teknolojisi), Tokenization (AI'ye özel token'lar) ve Intelligent Commerce Connect (AP2, ACP, x402 gibi rekabetçi protokollerle uyumlu) yer alıyor.
Mantık çok açık. Visa, ödeme ağı giriş noktasını yakaladığında, şimdi akıllı ajan时代ını da kendi yoluna dahil etmek istiyor. Akıllı ajan ödemeleri kart ağı üzerinden devam ederse ve bu paket varsayılan seçenek haline gelirse, Visa'nın payı sabit kalacaktır.
Trulioo: SSL sistemini buraya taşıyın
Trulioo, küresel KYC ve KYB uyumluluk alanında bir oyuncu olup, doğrulama yığınını KYA'ya genişletti.
Web sitesinin SSL sertifikası modelinden esinlenmiştir. SSL, CA (Sertifika Yetkilisi) tarafından web sitesine TLS sertifikası vererek yalnızca alan adını doğrular. Trulioo, DPA (Dijital Pasaport Yetkilisi) olarak akıllı ajanlara DAP (Dijital Ajan Pasaportu) verir ve geliştirici KYB'sini ve kullanıcı KYC'sini doğrular.
DAP, statik bir sertifika değildir. Her işlemde yeniden doğrulanan, güncellenen bir aktif tokendir. Atıf geri çekildiğinde veya bir anomali tespit edildiğinde, DAP hemen geçersiz hale gelir.
Beş kontrol noktası vardır: Provenance (hangi geliştirici tarafından yapıldı), User Binding (kim yetkilendirdi), Permission Scope (hangi işleri yapabilir), Behavior Telemetry (şu anda ne yapıyor), Risk Scoring (risk puanlaması).
Bankalar ve finansal teknoloji, yasal olarak bireylerin ve şirketlerin kimliklerini doğrulamak zorundadır. Bir varlık finansal alana girdiğinde, Trulioo'nun KYC ve KYB konumları daha da sağlam hale gelir.
Sumsub: Anormallikleri izleyin, belge vermeyin
Sumsub'ın yaklaşımı, önceki üçüyle farklı. Standartlar veya sertifikalar vermez; aksine, bir ajan anormal bir işlem yaptığında, arkasındaki kişiyi yeniden doğrular.
2015 yılından beri uyumlu iş yapmaktadır ve bu doğrulama sistemi, artık botların anormal davranışlarını tespit etmek için kullanılmaktadır. Süreç üç adımdan oluşur. İlk olarak, otomatik tespit yapılır; cihaz ve bot özelliklerini kullanarak insanlar ile makineler ayrılır. Daha sonra, bağlam, tutar ve geçmiş verileri birleştirerek bir risk puanı verilir. Son olarak, Liveness doğrulaması yalnızca yüksek riskli, büyük tutarlı veya kritik değişikliklerde başlatılır ve kayıtlı gerçek insanlar yeniden doğrulanır.
Sumsub'ün dört özelliği, diğer oyuncularla belirgin bir şekilde farklılaşır. Başlangıcı standart belirleyiciler yerine uyumlu operatördür. Doğrulama zamanı, önceden kayıt yerine riskli işlemler gerçekleştiğidir. Doğrulama yöntemi, veri veya token yerine gerçek insanlar tarafından tekrar onaylamadır. Felsefesi, ajanları doğrudan engellemek yerine ajanları sorumlularla bağlamaktır.
Diğer oyuncular, işlem yapmadan önce tek seferlik kimlik doğrulama yapar, Sumsub ise belge verildikten sonra gerçek zamanlı doğrulama yapar. Yetki alanları ne kadar genişlerse, anormal davranış tespiti o kadar kritik hale gelir. Dolandırıcılık yöntemleri teknolojiyle birlikte gelişiyor, Sumsub'un gerçek zamanlı yığını dikkat çekici.
4. Düzenlemeler yürürlüğe girmeden önce
FATF Seyahat Kuralı Senaryosu
2019 yılında FATF Seyahat Kuralı açıklanınca, VASP sektörü hemen ikiye bölündü. KYC ve AML altyapı maliyetlerini taşıyabilenler hayatta kaldı, taşıyamayanlar kapatıldı ya da daha az düzenlenmiş bölgelere taşındı. CryptoBridge ve Deribit de bu dalgada zorunlu olarak ayarlamalar yaptı.
Düzenleme, bir bitiş değil, bir bölünme noktasıdır.
Bu seferki senaryo aynı olabilir. Avrupa Birliği, Singapur ve ABD öncülük için yarışıyor.
AB AI Yasası'nın 12. maddesi, yüksek riskli AI sistemlerinin işlem günlüklerinin operatör kimliğini içermesini açıkça gerektiriyor. Singapur, kimlik yönetiminin akıllı sistemlere uzatılmasını ve her akıllı sistemin sorumlu bir tarafı olmasını zorunlu kılan dünyanın ilk ulusal düzeydeki akıllı sistem AI governans çerçevesini yayınladı. ABD NIST, akıllı sistem kimlik yönetimi konusunu öncelikli standart alanı olarak listeliyor.
Zaman penceresi daralıyor.
Tek bir kazanan olmayacaktır
Gerçek değişken, teknoloji değil, birleşimdir. Ana oyuncular artık işbirliği ve birleşim aşamasındadır. Sonraki adımda, her bir alt pazarın kimin eline geçeceği, hangi ticaretçiler, ödeme ağları ve KYC müşteri kümeleriyle birleştirileceğiyle belirlenecektir.
Bu piyasadaki tek bir kazanan olmayacak.
Blockchain üzerindeki kendi kendine işlem yapma alanında Ethereum önde olma olasılığı yüksek. Ödeme bağlantılı işlem senaryolarında Visa'nın avantajı belirgin. Düzenlenmiş finansal sektörde Trulioo'nun KYC ve KYB birikimi yerine geçilemez. Dolandırıcılık riski taşıyan işlem senaryolarında Sumsub'un gerçek zamanlı tespiti daha uygundur.
Dört şirket birbirinin doğrudan rakibi değil, her biri kendi dağını ayrıyor. Gerçek rekabet, hangi senaryoların hangi dağa dahil edileceğinde ortaya çıkıyor.
KYC, 1989 yılından bugüne kadar küresel finansın kimlik katmanını tamamlamak için otuz yıl aldı.
Bu turda tempo çok daha hızlı görünüyor. Düzenleyiciler harekete geçti, standart oyuncular pozisyon aldı ve ölçeklendirme için zaman penceresi gelecek birkaç yıl olabilir.
O zaman hayatta kalanlar, en güçlü teknolojiye sahip olanlar değil, kimlik altyapısını en erken entegre edenler olacak.