Tiger Research：在監管推動下，KYA 標準於 AI 代理領域獲得多方支持

本報告由 Tiger Research 撰寫。AI 智能體已經能自己簽合同、自己付款、自己做交易。但有個問題沒解決：你怎麼知道對面那個智能體到底是谁？這篇文章梳理 KYA 標準之爭裡四個玩家的不同打法，以及監管已經走到哪一步。

核心要點

1. AI 智能體進入自主執行合約、支付和交易的時代，但市場上還沒有統一的標準來驗證身份。在 A2A（智能體對智能體）場景下，KYA 開始比 KYC 更受關注。
2. KYA 不是處處都需要。在 Google、OpenAI、Coinbase 這種中心化平台內部，現有的 KYC 就夠了。真正需要 KYA 的，是獨立部署的智能體接入 DEX、A2A 支付、商戶支付的時候。
3. 標準之爭已經開始。ERC-8004、Visa TAP、Trulioo、Sumsub 分別從鏈上、支付網絡、合規認證、風險檢測四個方向切入，路徑完全不同。
4. 監管已經行動了。歐盟 AI 法案、美國 NIST、新加坡國家級框架都將智能體身份管理列為優先事項。2019 年 FATF 旅行規則決定了哪些加密交易所存活下來，這次 KYA 很可能重演同樣的劇本。

KYC 重塑了金融的那層

在 1989 年之前，全球金融沒有統一的身份標準。這個空白讓毒資和黑錢很難被追到源頭。直到那年 FATF 成立，KYC 才成為金融業的硬性要求，把非法資金擋在了門外。

之後三十年，KYC 的影響一層一層擴展。2001 年 911 之後加上反恐融資條款，美國《愛國者法案》把 KYC 升為法定義務。2010 年代歐盟 AMLD、巴塞爾協議 III、FATCA 陸續落地，跨境 KYC 資訊開始自動交換。2019 年 FATF 旅行規則把 KYC 延伸到虛擬資產服務商。

每一次延伸，都是在補一個空白。

沒有智能體身份，系統就在倒退

回到現在。AI 智能體不需要人類盯著，自己就能簽合同、付款、交易。但沒人能驗證它是誰。

在 A2A 環境裡，責任歸屬一片模糊。出了問題找誰，誰也說不清。用戶也很容易撞上洗錢和各種花式詐騙。

將 1989 年之前的金融與 2026 年的智能體市場並列觀察，結構驚人地相似。當年是匿名賬戶在跨境流動，今天是未經驗證的智能體在 A2A 交易。當年驗證責任由各家銀行各自承擔，今天則由各家平台各自承擔。共同標準都不存在。

這種相似不是巧合，是規律。技術先跑出來了，身份層沒跟上。

KYA 是什麼

KYA（Know Your Agent）是一層信任機制，提前把智能體的來源、權限和責任歸屬驗證清楚。

跳過這一步，三種風險會同時冒出來。第一種是越權交易：用戶只授權了支付，智能體卻挪動資產、簽下範圍外的合同。第二種是身份偽造：惡意智能體偽裝成合法的，劫持支付、偽造響應、盜用信譽。第三種是責任真空：出事之後，智能體、開發者、委託方互相甩鍋，賠償無從追究。

KYA 的做法就是提前鎖定這三件事：預先註冊並驗證權限範圍，直接攔截越權操作；驗證身份與來源，僅允許合法的智能體進來；每個智能體的來源與委託方都綁定在記錄中，以便事後追蹤。

不是哪裡都需要

中心化平台內部其實不太需要 KYA。用戶做了 KYC，平台自己也兜底，整條鏈路是閉環的。

需要 KYA 的，是走出平台之後的開放環境。智能體要去對接 DEX、做 A2A 支付、付款給商戶。這時候沒人兜底，也沒人能替它擔保。

打個比方。在一個國家內部走動，身份證（KYC）就夠用了。一旦跨過國境（出了平台），環境就變了，必須在入境處接受審查（KYA），說清楚來意和可信度。

四步流程

The operation of KYA can be divided into four steps. The first two steps are "passport issuance": register the agent's identity and permissions, and issue a digital passport after verification. The last two steps are "border control": confirm the counterparty's identity when a transaction occurs, and update the records based on the transaction outcome.

Identity is not issued once and valid permanently; it is re-verified for each transaction.

在標準之爭中，目前有四個參與者，路徑各不相同。

ERC-8004：將身份轉為 NFT

ERC-8004 採用純鏈上路線。它在 ERC-721 之上新增了一層身份層，每個智能體都會鑄造一枚 NFT 作為唯一 ID。

配套有三個鏈上註冊表。Identity 負責「這個智能體是誰」，基於 ERC-721 的唯一 AgentID。Reputation 負責「能不能跟它交易」，交易完成後在鏈上留下評分、標籤、證據。Validation 負責「它有沒有真的做了那件事」，由第三方驗證者透過 zkML、TEE 等插件來核對。

這種結構在以太坊歷史上不是第一次出現。ERC-20 標準化了代幣發行，USDT、USDC、UNI、AAVE 都長在它上面。ERC-721 標準化了 NFT 發行，CryptoPunks、BAYC、ENS 撐起了整個 NFT 市場。ERC-8004 要扮演的，是同樣位置的第三個標準。

Visa TAP：使用支付網絡打包

Visa 的思路完全不同。它為智能體發放一張身份憑證（Agent Intent），相當於一張卡片。沒有這把鑰匙，智能體連交易都無法發起。Visa 在預先批准後才發放鑰匙，每筆交易都必須附帶簽名給商家。

商戶收到的不是一個簽名，而是三個。Agent Intent 證明智能體合法，由 VIC 批准的密鑰背書。Consumer Recognition 說明它在替誰幹活，將用戶標識符傳給商戶。Payment Information 提供支付保證，使用支付 token 或經過哈希的卡資訊完成認證。

Visa 將這套系統納入了一個更大的套件，稱為 Visa Intelligent Commerce（VIC）。除了 TAP 之外，還包括 Agent APIs（Visa 卡使用時運行的專有技術）、Tokenization（專為 AI 發放的 token），以及 Intelligent Commerce Connect（兼容 AP2、ACP、x402 等競爭協議）。

邏輯很清楚。Visa 當年抓住了支付網絡的入口，現在想把智能體時代也打包進自己的軌道。如果智能體支付繼續走卡網絡，而這套包成為默認選項，Visa 的份額就穩住了。

Trulioo：把 SSL 那套搬過來

Trulioo 是全球 KYC、KYB 合規領域的參與者，現已將驗證堆棧延伸至 KYA。

它借鑑了網站 SSL 證書的模式。SSL 是 CA（Certificate Authority）向網站發放 TLS 證書，僅驗證域名。Trulioo 提出的 DPA（Digital Passport Authority）則向智能體發放 DAP（Digital Agent Passport），驗證開發者 KYB 及用戶 KYC。

DAP 不是一張靜態證書。它是一個會刷新的活 token，每次交易都重新驗證。一旦委託被撤回或者檢測到異常，DAP 立刻作廢。

它有五個檢查點：Provenance（哪個開發者做的）、User Binding（誰授權的）、Permission Scope（能幹哪些活）、Behavior Telemetry（現在在做什麼）、Risk Scoring（風險評級）。

銀行和金融科技在法律上必須驗證個人和公司身份。一旦智能體進入金融領域，Trulioo 的 KYC、KYB 位置反而更穩了。

Sumsub：監控異常，不發證

Sumsub 的切入方式與前三家都不同。它不發放標準或證書，而是在智能體出現異常交易時，重新驗證背後的個人。

它自 2015 年起便從事合規業務，該驗證系統現已用於檢測智能體的異常行為。流程分為三步：先進行自動化檢測，透過設備與智能體特徵區分人類與機器；再進行風險評分，結合上下文、金額與歷史數據給予風險分數；最後是 Liveness 驗證，僅在高風險、大金額或關鍵變更時啟動，重新核對登記的真人。

Sumsub 的四個特點與其他玩家形成鮮明對比。它的起點是合規運營商，而不是標準制定者。驗證時機是風險交易發生時，而不是事先註冊。驗證方法是真人重新確認，而不是數據或 token。哲學是將智能體與責任方綁定在一起，而不是直接攔截智能體。

其他玩家在事前進行一次性身份驗證，Sumsub 則在發證後進行實時驗證。智能體權限越擴張，異常檢測越關鍵。詐騙手段隨技術升級，Sumsub 的實時堆棧值得關注。

FATF 旅行規則的劇本

2019 年 FATF 旅行規則出臺後，VASP 行業立即分裂。能承擔 KYC、AML 基礎設施成本的存活下來，承擔不起的關閉或遷往監管較寬鬆的地區。CryptoBridge、Deribit 都在那一波中被迫調整。

監管不是終點，是分水嶺。

KYA 這次的劇本可能一樣。歐盟、新加坡、美國已經在搶佔先機。

歐盟 AI 法案第 12 條明確要求，高風險 AI 系統的行為日誌必須包括操作者身份。新加坡發布了全球第一個國家級智能體 AI 治理框架，把身份管理延伸到智能體身上，要求每個智能體都有可追責的責任方。美國 NIST 把智能體身份管理列為優先標準領域。

時間窗口正在縮小。

不會有單一贏家

標準之爭的真正變量不是技術，是組合。主要玩家已經進入合作和組合階段。接下來誰跟哪些商戶、支付網絡、KYC 客戶群配對，決定了每個細分市場的歸屬。

This market will not have a single winner.

在鏈上自主交易領域，以太坊大概率領先。在支付綁定的交易場景中，Visa 優勢明顯。在受監管的金融行業中，Trulioo 的 KYC、KYB 積累難以替代。在帶有欺詐風險的交易場景中，Sumsub 的實時檢測更為適合。

四家並非直接對手，他們各自佔據一方領地。真正的競爭在於哪些場景被劃入哪一方領地。

KYC 從 1989 年走到今天，用了三十年才把全球金融的身份層補完。

KYA 這輪，節奏看起來要快得多。監管已經出手，標準玩家已經布陣，規模化部署的時間窗口可能就是未來幾年。

到時候活下來的，不一定是技術最強的，而是身份基礎設施最早接入的。