Цей звіт підготовлено Tiger Research. AI-агенти вже можуть самостійно підписувати угоди, робити платежі та виконувати угоди. Але одна проблема залишається нерозв’язаною: як ви дізнаєтеся, хто саме знаходиться з іншого боку? У цій статті розглядаються різні підходи чотирьох учасників боротьби за стандарти KYA та на якому етапі знаходиться регулювання.
Ключові моменти
- Штучний інтелект входить у еру автономного виконання контрактів, платежів і торгівлі, але на ринку ще немає єдиного стандарту для перевірки ідентичності. У сценаріях A2A (агент-до-агента) KYA починає отримувати більше уваги, ніж KYC.
- KYA не потрібен усюди. У централізованих платформах, таких як Google, OpenAI, Coinbase, існуючий KYC достатній. KYA справді потрібен, коли незалежно розгорнуті агенти підключаються до DEX, A2A-платежів, платежів для мерчантів.
- Боротьба за стандарти вже розпочалася. ERC-8004, Visa TAP, Trulioo та Sumsub вибрали чотири різні шляхи: на ланцюзі, у платіжних мережах, у сфері відповідності та виявлення ризиків.
- Регулювання вже діє. Закон про ШІ ЄС, NIST США та національна рамка Сінгапуру визначили управління ідентичністю агентів як пріоритет. Правило подорожей FATF 2019 року вирішило, які криптовалютні біржі вижили — ймовірно, цього разу сценарій повториться з KYA.
1. Чому саме зараз
KYC перетворив той шар фінансів
До 1989 року у світовій фінансовій системі не існувало єдиної стандартної системи ідентифікації. Ця прогалина робила складним відстеження походження коштів, отриманих незаконним шляхом. Лише зі створенням FATF у цей рік KYC став обов’язковою вимогою для фінансової галузі, відсікаючи незаконні кошти.
Наступні тридцять років вплив KYC поступово розширювався. Після 9/11 у 2001 році додано положення щодо боротьби з фінансуванням тероризму, і американський Закон про патріотизм зробив KYC обов’язковим за законом. У 2010-х роках ЄС впровадив AMLD, Базельський протокол III та FATCA, і інформація про KYC між країнами почала автоматично обмінюватися. У 2019 році FATF впровадила Правило подорожей, яке поширило KYC на постачальників віртуальних активів.
Кожне розширення — це заповнення порожнечі.
Без ідентичності агента система відступає
Повернемося до теперішнього часу. AI-агенти можуть самостійно підписувати угоди, робити платежі та укладати угоди, не потребуючи нагляду людини. Але ніхто не може перевірити, хто вони такі.
У середовищі A2A відповідальність неясна. Хто винен у виникненні проблем — ніхто не може сказати. Користувачі також легко стикаються з відмиванням грошей та різноманітними видами шахрайства.
Порівняйте фінансові системи до 1989 року з ринком агентів 2026 року — структура дивовижно схожа. Тоді анонімні рахунки переміщувалися через кордони, а зараз неверифіковані агенти здійснюють A2A-угоди. Тоді відповідальність за верифікацію лежала на кожному банку окремо, зараз — на кожній платформі окремо. Спільних стандартів немає.
Ця подібність не випадкова, а закономірність. Технологія випередила шар ідентичності.
Що таке KYA
KYA (Know Your Agent) — це механізм довіри, який передбачає попередню перевірку походження, повноважень та відповідальності агента.
Пропустіть цей крок, і одночасно виникнуть три ризики. Перший — несанкціонована торгівля: користувач надав авторизацію лише для оплати, а агент переміщує активи та підписує контракти поза межами дозволу. Другий — підробка особи: зловмисний агент підробляє себе під легітимного, перехоплює платежі, підробляє відповіді та краде репутацію. Третій — вакуум відповідальності: після інциденту агент, розробник і принципал перекладають вину один на одного, і відшкодування стає неможливим.
KYA робить саме те, що ці три речі блокуються заздалегідь. Попередня реєстрація та перевірка діапазону прав, несанкціоновані дії блокуються одразу. Перевірка особи та джерела, дозволяється лише легітимним агентам. Джерело та повноваження кожного агента прив’язані до запису, тому у разі проблеми їх можна відстежити.
2. Де має працювати KYA
Не всюди це потрібно
Централізовані платформи насправді не потребують KYA. Користувачі пройшли KYC, платформа сама забезпечує безпеку, і весь ланцюжок є замкненим.
KYA потрібен у відкритому середовищі поза платформою. Агент має взаємодіяти з DEX, здійснювати A2A-платежі та сплачувати торговцям. Тут ніхто не гарантює та не несе відповідальність за нього.
Уявіть собі: всередині країни достатньо лише громадянського паспорта (KYC). Але як тільки ви перетинаєте кордон (виходите за межі платформи), умови змінюються — вам потрібно пройти перевірку на кордоні (KYA), пояснити мету свого візиту та підтвердити свою надійність.
Чотирикрокова процедура
Робота KYA може бути розбита на чотири кроки. Перші два кроки — це «видання паспорта»: спочатку реєструється ідентичність та права агента, а після перевірки видавається цифровий паспорт. Два останні кроки — це «прикордонний контроль»: під час транзакції підтверджується ідентичність протилежної сторони, а потім запис оновлюється залежно від результату транзакції.
Ідентичність не видається один раз і діє назавжди, а перевіряється заново при кожній угоді.
3. Чотири гравці борються за стандарт
У стандартній боротьбі зараз чотири гравці, кожен з яких вибрав інший шлях.
ERC-8004: Перетворити ідентичність на NFT
ERC-8004 дотримується чисто блокчейн-підходу. Він додає шар ідентичності до ERC-721, де кожному агенту присвоюється один NFT як унікальний ідентифікатор.
Існують три ланцюгових реєстри: Identity відповідає за «хто цей агент», на основі унікального AgentID на базі ERC-721. Reputation відповідає за «чи можна з ним укладати угоди», залишаючи оцінки, мітки та докази в ланцюгу після завершення угоди. Validation відповідає за «чи справді він виконав цю дію», перевіряючи за допомогою сторонніх верифікаторів з використанням плагінів, таких як zkML, TEE.
Ця структура не є першою в історії Ethereum. ERC-20 стандартизував випуск токенів, на ньому виростали USDT, USDC, UNI, AAVE. ERC-721 стандартизував випуск NFT, а CryptoPunks, BAYC, ENS стали основою всього ринку NFT. ERC-8004 має стати третьою стандартною специфікацією на тій самій позиції.
Visa TAP: упаковка за допомогою платіжної мережі
Підхід Visa абсолютно інший. Вона видаватиме агентам посвідчення особистості (Agent Intent), що еквівалентно картці. Без цього ключа агент не зможе навіть ініціювати транзакцію. Visa попередньо схвалює транзакцію, а потім видає ключ, і кожна транзакція має супроводжуватися підписом для продавця.
Мерчант отримує не один підпис, а три. Agent Intent підтверджує легітимність агента за підтримкою ключа, схваленого VIC. Consumer Recognition вказує, для кого він працює, передаючи ідентифікатор користувача мерчанту. Payment Information надає гарантію оплати, підтверджуючи аутентифікацію за допомогою платіжного токена або хешованих даних картки.
Visa включила цю систему до більшого пакету під назвою Visa Intelligent Commerce (VIC). Крім TAP, у нього входять Agent APIs (власна технологія Visa для використання карток), Tokenization (токени, призначені виключно для AI), а також Intelligent Commerce Connect (сумісний з конкурентними протоколами AP2, ACP, x402 тощо).
Логіка зрозуміла. Visa раніше захопила вхід у платіжну мережу, а зараз намагається включити еру агентів у свою систему. Якщо оплата агентами продовжить використовувати карткову мережу, і цей пакет стане стандартним варіантом, частка Visa залишиться стабільною.
Trulioo: перенесіть цю систему SSL
Trulioo — це гравець на глобальному ринку KYC, KYB-відповідності, який зараз розширює свою систему верифікації до KYA.
Він запозичує модель веб-сайтів SSL-сертифікатів. SSL — це CA (Certificate Authority), яка видає TLS-сертифікати веб-сайтам, підтверджуючи лише домен. Trulioo запропонувала DPA (Digital Passport Authority), яка видає DAP (Digital Agent Passport) агентам, підтверджуючи KYB розробника та KYC користувача.
DAP — це не статичний сертифікат. Це живий токен, який оновлюється та повторно перевіряється під час кожної угоди. Як тільки делегування скасовується або виявляється аномалія, DAP миттєво анульовується.
Він має п’ять контрольних точок: Provenance (хто розробив), User Binding (хто авторизував), Permission Scope (що може робити), Behavior Telemetry (що зараз робить), Risk Scoring (оцінка ризику).
Банки та фінтех-компанії зобов’язані законодавчо перевіряти ідентичність фізичних осіб та компаній. Коли агенти потрапляють у фінансову сферу, позиції Trulioo з KYC та KYB стають ще міцнішими.
Sumsub: Слідкуйте за аномаліями, не видавайте посвідчення
Підхід Sumsub відрізняється від трьох попередніх: він не видає стандарти чи сертифікати, а замість цього повторно перевіряє особу, що стоїть за агентом, коли виникають незвичайні транзакції.
Він займається легальним бізнесом з 2015 року, і ця система верифікації зараз використовується для виявлення незвичайної поведінки агентів. Процес складається з трьох етапів. Спочатку проводиться автоматизований аналіз, щоб розрізнити людей і машини за допомогою даних пристрою та характеристик агента. Потім визначається рейтинг ризику — на основі контексту, суми та історичних даних присвоюється бал ризику. Нарешті, проводиться перевірка Liveness, яка запускається лише при високому ризику, великих сумах або критичних змінах, щоб повторно підтвердити, що це реальна людина.
Чотири особливості Sumsub різко відрізняються від інших гравців. Їхній вихідний пункт — це оператори, що дотримуються правил, а не розробники стандартів. Перевірка відбувається під час ризикової транзакції, а не під час попередньої реєстрації. Метод перевірки — підтвердження людиною, а не за допомогою даних чи токенів. Філософія полягає у зв’язуванні агента з відповідальною стороною, а не у прямому блокуванні агента.
Інші гравці проходять одноразову верифікацію особи перед виконанням дій, а Sumsub здійснює реальний час верифікацію після видачі документів. Чим більше розширюються повноваження агентів, тим важливішим стає виявлення аномалій. Методи шахрайства еволюціонують разом із технологіями, і реальний стек Sumsub варто враховувати.
4. До впровадження регулювання
Сценарій правил подорожі FATF
Після введення правил подорожей FATF у 2019 році індустрія VASP розділилася. Ті, хто зміг витримати витрати на інфраструктуру KYC та AML, вижили, ті, хто не зміг — закрилися або переїхали до місць з менш суворою регуляцією. CryptoBridge та Deribit також були змушені адаптуватися під цю хвилю.
Регулювання — це не кінець, а роздільна лінія.
Можливо, сценарій цього разу такий самий. Європейський союз, Сінгапур і США вже борються за лідерство.
Стаття 12 закону ЄС про ШІ вимагає, щоб журнали поведінки систем ШІ високого ризику містили ідентифікацію оператора. Сінгапур опублікував першу у світі національну рамку управління ШІ-агентами, розширивши управління ідентичністю на агентів і вимагаючи, щоб кожен агент мав відповідальну сторону. NIST США визначив управління ідентичністю агентів як пріоритетну область стандартів.
Часовий вікно скорочується.
Не буде єдиного переможця
Справжнім фактором у боротьбі за стандарти є не технологія, а комбінації. Основні гравці вже перейшли до етапу співпраці та комбінування. Хто саме приєднається до яких торговців, платіжних мереж та клієнтських груп KYC, вирішить, хто володітиме кожним сегментом ринку.
На цьому ринку не буде єдиного переможця.
У сфері автономних транзакцій у ланцюгу Ethereum, найбільш імовірно, вона буде лідером. У сценаріях транзакцій, прив’язаних до оплати, Visa має очевидну перевагу. У регульованому фінансовому секторі, накопичення Trulioo у галузі KYC та KYB важко замінити. Для транзакцій із ризиком шахрайства краще підходить Sumsub з його реальним часом виявлення.
Чотири компанії не є прямими конкурентами, кожна з них займає свою територію. Справжня конкуренція відбувається в тому, які сценарії потрапляють на яку територію.
KYC, пройшовши шлях з 1989 року до сьогодні, витратив тридцять років, щоб завершити шар ідентифікації глобальної фінансової системи.
Цей раунд KYA здається набагато швидшим. Регулятори вже діють, стандартні гравці вже розміщені, і вікно для масштабування може бути лише у найближчі роки.
Тими, хто виживе, не обов’язково будуть ті, хто має найсильнішу технологію, а ті, хто найпершим інтегрував інфраструктуру ідентичності.