FIDO联盟启动工作组制定AI代理支付安全标准
2026年4月28日,专注于身份认证的行业组织FIDO联盟宣布,将联合谷歌和万事达卡成立两个工作组,致力于开发行业标准,以验证和保护由AI代理执行的支付及其他交易。
该举措旨在建立一个可被各行业采纳的基础安全框架,防止AI代理被恶意劫持或执行未经授权的指令。标准将包含加密工具,使数字服务能够确认AI代理是否在准确、合法地执行用户指令,同时提供隐私保护机制,使用户、商户及服务提供商能验证由AI代理发起的交易。
FIDO联盟首席执行官安德鲁·希基亚表示,AI代理正日益普及,但现有安全模型并未为“代理执行用户行为”这一范式设计。他指出,当前情况类似于密码系统的早期缺陷,此次是建立可信交互基础的良机。
谷歌贡献了Agent Payments Protocol(AP2),可对用户授权的代理交易进行加密验证;万事达卡则推出与AP2兼容的“可验证意图”框架,使用户能安全授权并控制AI代理行为。谷歌支付业务副总裁斯塔万·帕里克强调,该系统需提供用户授权的加密证明,同时保持隐私,实现选择性披露,确保不同生态参与者仅获取必要信息。
帕里克举例说明:用户可授权AI代理在运动鞋价格不超过100美元时自动购买,若商品补货,系统将确保交易按用户意图执行。此举有助于提升用户对AI代理的信任,推动AI工具的普及。
尽管AP2和可验证意图框架为工作组提供了技术基础,但仍需构建实际用例和应用场景,并推动跨行业大规模应用。万事达卡首席数字官巴勃罗·富雷兹指出,AI代理技术发展迅速,传统标准制定周期(通常2至3年)已不适用,必须加快进程,确保消费者与商户在技术滥用时获得有效保护。
编辑点评
此次FIDO联盟联合谷歌与万事达卡推动AI代理支付安全标准,标志着全球数字安全体系正应对新兴技术带来的范式转移。随着AI代理在消费、金融和企业服务中的应用加速,传统身份验证机制已显不足,亟需建立适应‘代理行为’的新安全框架。该标准不仅关乎支付安全,更涉及数字身份、隐私保护与责任归属等深层问题,其制定将影响全球金融科技生态。
从国际影响看,若该标准获得广泛采纳,可能成为全球AI代理交互的基准规范,推动各国监管机构更新数字安全政策。同时,谷歌与万事达卡的技术贡献表明大型科技与金融企业正主动参与标准制定,而非被动应对监管,这将加速AI代理的可信化发展。
长远来看,此举可能重塑人机交互信任模型——未来用户不仅需验证自身身份,还需验证代理行为的授权有效性。若标准未能及时落地,AI代理可能因安全漏洞引发大规模欺诈事件,危及数字经济发展。因此,此次行动具有高紧迫性,其成功与否将决定AI代理能否实现从技术实验到主流应用的跨越。