AI支付缺失的责任层:谁为Agent的错误买单

周三早上七点,你在香港的公寓里醒来,拿起手机。屏幕上有一条信用卡扣款通知:港币 2600,国泰航空,香港至新加坡,周四。周四?你要的是今天的航班。昨晚睡前你让 agent 订一张周三飞新加坡的经济舱,预算 3000 港币以内。入睡后,周三直飞涨到 3800,超出预算。agent 直到凌晨三点才找到一张周四清晨 2600 的——预算之内,目的地正确,日期错了一天。而你订这张票,是为了赶周四上午九点在

周三早上七点,你在香港的公寓里醒来,拿起手机。屏幕上有一条信用卡扣款通知:港币 2600,国泰航空,香港至新加坡,周四。

周四?你要的是今天的航班。

昨晚睡前你让 agent 订一张周三飞新加坡的经济舱,预算 3000 港币以内。入睡后,周三直飞涨到 3800,超出预算。agent 直到凌晨三点才找到一张周四清晨 2600 的——预算之内,目的地正确,日期错了一天。而你订这张票,是为了赶周四上午九点在新加坡的会,现在鞭长莫及。

你盯着那条通知,其实是面对着一个支付产业五十年没遇过的问题:这笔交易,你授权了吗?按授权的字面,授权了;按你的本意,没有。

两个答案都对,这才是麻烦所在。

一、授权——在 agent 的世界里,没有清晰的答案

1.1 五十年换了六代手段,没换过一个前提

支付产业用五十年升级了六代授权技术,却从没换过一个前提:授权的那一刻,人在场。

从签名压印、磁条加实时授权网络、EMV 芯片密文、NFC,到 Tokenization,再到今天的 Agentic Token——六代升级,换的全是验证手段,验的都是同一件事:交易现场的那个人,是不是持卡人本人。签名、PIN、指纹、Face ID,前提始终成立。

Agent 打破的不是手段,是前提。

2

授权与交易在时间上分离,你三天前说的一句话,agent 凌晨两点执行;意图(intent)以自然语言表达,而自然语言无法被风控引擎校验;发起交易的,第一次不是持卡人本人。

Chargebacks911 的 CEO Monica Eaton 说过一句行内话:卡组织几十年的争议框架,建立在一个二元问题上——持卡人要么授权了,要么没有。

卡没有被盗,商户没有犯错,Agent 也做了它被要求做的事,但消费者仍然说“我不想要这个”。

这个问题在 agent 的世界里,没有清晰的答案。

1.2 三条路,责任住在三个地方

2

这条缝在三种支付形态上的深浅,并不一样。今天 agent 花钱走三条路,三条路的差别,本质是责任住在三个不同的地方。

钱包与 credits,用户先充值,花完为止,责任预付了,代价是出不去生态闭环,阿里的千问如何在美团买奶茶?

卡轨,责任由 Visa / Mastercard 网络规则承接,五十年的争议框架仍然在场,本文后面的主角,多数在这条轨上施工。卡组织想串联上下。

A2A 链上直付,钱包对钱包,到账即终局,责任要么悬空,要么由代码和声誉替代,它买得了 token,买不了机票。

2026 年上半年,后两条轨各交出了一个标本。

1.3 两个标本,同一道坎

x402 找到了自己的边界——而这条边界,由商品的争议可能性划定。

这个由 Coinbase 推出、被寄予"机器微支付原生标准"厚望的协议,链上交易量从 2025 年 11 月的峰值跌去 77%;它主打的 10 美分至 1 美元微支付区间,占比从 46% 塌缩到 4%。活下来的交易是什么?买 token、调 API、租算力——交付即消耗和无从反悔的商品。

原因在协议的性格里。x402 是裸的:没有授权书,没有追索,没有争议通道。对即买即耗的商品,裸恰恰是优点,连争议处理的成本都省了。但凡商品可能出错——错发、质差、买错——裸协议就走不进去。今年 3 月,Stripe 与 Tempo 发布 Machine Payments Protocol,把 x402 式的机器支付需求纳入一个包含支付授权、生命周期管理和多支付方式支持的更完整框架。

另一个标本在卡轨这一端。OpenAI 的 Instant Checkout,OpenAI 与 Walmart 最初的 Instant Checkout 模式在上线数月后被重构。Walmart 披露,ChatGPT 内直接结账的转化率约为跳转至 Walmart 网站路径的三分之一,随后双方转向由 Walmart 自有的 Sparky 承接购物体验。转化率问题不全是风险造成的,但它暴露了同一个结构性矛盾:入口控制了决策过程,却没有完整承接商户的数据、履约与争议责任。

一个是协议太裸,一个是入口太轻,卡在同一道坎上:

责任无处安放的地方,交易就发生不了。

那么,责任到底怎么分?这不是一个新问题。

二、市场如何分配责任

2.1 责任拆成四道题

回到那张机票——你想追回 2600 块。找 agent 的开发者,找国泰航空,还是找发卡行?这个追问拆开来,其实就是委托支付在法律上绕不开的四个问题:

授权是否成立,

边界在哪,

越界了算谁的,

损失最终谁承担。

代理法两千年的骨架,就是这四问。前两问是"证明"的领地——授权存不存在、边界清不清楚,密码学答得了;后两问是"裁决"的领地——越界算谁的、损失谁承担,只有规则答得了。今天所有的玩家,几乎都挤在前两问里。

2.2 平台定义语言

最先动手的不是卡组织,是 Google 和 Stripe——它们抢的不是支付份额,是定义授权的语言。

Google 的 AP2 用两张授权书拆开人在与不在——Intent Mandate 授权范围内代购,Cart Mandate 确认最终购物车,协议已捐给 FIDO 联盟。Stripe 的 Shared Payment Token 把卡、agent token、BNPL 抽象成单一接口。Mastercard 的 Verifiable Intent 与 Google 共同开发,与 AP2 无损互译;Visa 的 TAP 声称兼容,翻译过程却丢信息。

授权格式的标准化战争已经开打,领跑的是 Google,不是卡组织。谁的授权书格式成为通用语言,谁就拿到了定义"授权"这个词的权力。

2.3 公链建造新轨

公链内部先裂成了两半。

结算派——Solana 和 Base 在打交易量战争,比快比便宜,把链上结算卷成消耗战。信任派的选择更说明问题:以太坊基金会 2025 年 9 月成立 dAI 团队,推出 ERC-8004,身份、声誉、验证三张链上注册表,2026 年 1 月主网上线——规格里明确写着,支付被有意排除在范围之外。

网络效应最深的那条链,主动放弃结算战场,筹码全押信任层。

专为 agent 而建的 L1 Kite 走得更远:用户持根密钥,agent 持派生密钥,会话密钥用完即焚,预算与权限由智能合约事前强制。它的文档直言,商户收 agent 付款的风险在于"责任不清"——一条公链,把自己的存在理由写成了这四个字。

公链是唯一试图碰第三、四问的阵营,但它的答法不是裁决,是取消裁决:事前约束让越界无法发生,声誉让失信自动定价。这套替代品只在机器世界成立——双方都是机器、商品即买即耗、没有需要保护的消费者;越出这个世界它立刻失效,声誉赔不了钱,终局结算退不了票。

于是市场正沿着争议密度分岔成两个世界:人类侧商业走卡轨加授权书,机器侧商业走区块链加声誉。

2.4 卡组织改存量

Visa 的 Trusted Agent Protocol 是与 Cloudflare 共同开发的 HTTP 层身份协议:agent 给每个请求附加密码学签名,商户对照 Visa 运营的目录验证,协议本身不走资金,验的是"这个 agent 是不是它声称的那个"。TAP 主要解决 Agent 的识别、请求签名和交易意图声明,但它本身不是完整的资金授权与责任分配体系。美国运通干脆跳过协议直接上承诺:注册 agent 出错导致的交易,Amex 为符合条件的持卡人提供保护。

卡组织对链上世界的姿态是收编而非对抗:Visa 加入了 x402 基金会,又给 Stripe 的 MPP 写了卡支付规格;Mastercard 今年 6 月发布 Agent Pay for Machines,让机器之间直接发起和接收微支付,合作名单里站着 Solana 基金会、Tempo 和 Coinbase。

潜台词一致:结算轨随便建,责任与信任的收费站是依旧还是我的。

2.5 缝隙里的产品,考场上的收税人

创业公司在四问的缝隙里做产品。

Nekuda 做授权书本身,把用户意图变成结构化授权:能买什么、什么条件、什么限额、何时叫人;Payman 在银行侧做人工审批断点;Catena Labs 最激进,Circle 联合创始人 Sean Neville 要给 agent 建一家"金融机构"——身份、策略、审批、审计,单一控制面跟着钱走。

场上还有两个玩家不下注——不赌任何一个答案赢,赌战争本身会持续。

Stripe 全都要:ACP 与 OpenAI、Meta 共创,MPP 与 Tempo 共发,x402 基金会创始成员;商户接入它的 Agentic Commerce Suite,自动兼容所有协议。Instant Checkout 退役了,ACP 却活在 Stripe 手里,如今驱动着 Microsoft 的 Copilot Checkout。

Google 在争定义权,Stripe 在争执行权——翻译层拿得走集成的钱,拿不走定义的权,因为责任附着在授权书的结构上,翻译者只能服从原文;但无论谁立法,执行都走它的管道。

Circle 押的则是计价。Agent Stack 的策略钱包把时限、限额、白名单直接长在钱上,而它真正的生意在钱包之下:Circle 九成六的收入来自 USDC 储备利息,x402 的结算金额 99。8% 走 USDC——每个预充值的 agent 钱包,都是一个无息存款账户。授权战争谁赢都行,只要 agent 花的是 USDC。一个收过路费,一个收铸币税。

2.6 投资比协议诚实

答卷看完,再看一份更诚实的文件:投资记录。

Visa Ventures 投了 Nekuda 和 Payman。前者做授权的生成,而授权诞生在用户与 agent 对话的那一刻,VisaNet 之外;后者做的资金流,压根不走卡轨。两笔投资一笔买上游,一笔买轨道外——Visa 清楚自己的协议只覆盖"钱经过我时"的那一段。

Amex Ventures 同样出现在 Nekuda 的股东名单里:它已经做了保护承诺——投 Nekuda 是给自己的承诺买风控,边界越精确,敞口越小。

Coinbase 投了 Skyfire(agent 身份)、Catena(控制面),又投了 Kite(带授权层的链)——三笔连成一条线,全部指向 x402 缺的那一层,投资组合是协议缺陷的自白书。Kite 的股东里还站着 PayPal,没有协议的玩家,买的是入场券。

Stripe 的动作是并购加共建:收购了 Bridge、Privy、Metronome,又与 Paradigm 共建了 Tempo,从稳定币发行、钱包、计费到结算买齐了整条栈——别家买的是自己答卷上的空白题,它买下的是整张考场。

Google 一笔都没投——它的缺口不在授权层,在轨道,而轨道用投资买不来,只能用共建换。

看一家机构的协议,知道它想让你相信什么;看它的投资,知道它自己不信什么。

四问之中,所有火力都压在前两问——证明这一半。证明做到了什么程度,裁决又空到什么程度?回到那张机票,看你那句话在协议里走完一生。

2

三、Agent 的授权书

授权书能证明发生了什么,却不能决定发生的事该算谁的。

3.1 授权

"下周三去新加坡,经济舱,3000 以内"——在 Mastercard 与 Google 今年共同发布的开放标准 Verifiable Intent 里,这句话变成一份结构化的授权书(mandate):你的身份、你签下的约束条件、agent 每一次履约的记录,分别由三方各自签名,责任各归各的,谁也赖不掉谁。

公链也在学这套分层逻辑。Kite 的三层身份——用户根权限、agent 委托权限、会话临时权限——分层委托、逐层缩权,和 VI 的思路一脉相承。

再看你的三个条件怎么进字段。"3000 以内"进得去,金额上限,机器可校验;"经济舱"进得去,枚举类型;"下周三"进得去,时间窗口。到这里,规格做得相当漂亮。VI 甚至规定:授权书里出现验证方不认识的约束类型,必须整体拒绝——因为未知的约束可能悄悄放宽了边界。把"不理解就不放行"写进协议,比市面上大多数商业合同都严谨。

但你没说出口的那半句——必须周三到,因为周四上午开会——任何字段都装不下。它不是金额,不是枚举,不是时间窗,它是你说这句话的理由。

授权书忠实记录了你说了什么,无法记录你为什么说。这不是工程没做完,是结构性的:意图的完整性只存在于人的脑子里,任何字段清单都只是它的投影。

3.2 执行

Agent 买下周四的航班。网络校验什么?金额,通过;舱位,通过;时间窗——取决于你当初有没有把"周三"写成硬约束。没写,这笔交易在协议意义上就无懈可击。

预算上限封得住损失的规模,封不住预算之内的违背本意;prompt injection 同理,攻击者诱导 agent 在授权范围内买错东西,每一道密码学校验都亮绿灯。授权边界(scope)的精度,是这里唯一的防线。

3.3 争议

你想追回这 2600 块。打给发卡行,客服问:这笔交易是你授权的吗?是的,你的密钥签过。那就不构成盗刷,chargeback 通道关上了。你找国泰,国泰说票是合规出的,agent 身份验证通过,航空公司没有退票义务。你找 agent 的开发者——如果你找得到的话——开发者说 agent 严格执行了你的指令,预算之内,时间窗之内,它做对了。

每一方都没有错,但你错过了新加坡早上的会。

授权书作为证据,能证明授权存在,能证明预算未超;而你真正想争的问题——日期约束当初该不该写、没写算谁的失误、翻译环节有没有丢信息——授权书沉默,协议也沉默。2600 块和一场会的损失,挂在四问的第三题和第四题上:越界了算谁的,损失谁承担。

整个协议栈把力气花在了同一件事上:证明。签名链、审计轨迹——链圈也一样,ERC-8004 的验证注册表,存的是履约正确性的密码学证明——把"发生了什么"钉死到密码学级别,而对"发生的事该算谁的",一言不发。

当所有人都没违反规则,而损失仍然发生,问题就从技术跑道滑进了另一个跑道——不是"系统该怎么设计",而是"损失该谁承担"。这个问题,只有规则能回答。

到这里,开头那句话可以说完整了:协议能证明 agent 做了什么——签名不可抵赖、履约有据可查、每一步钉死在密码学级别;但它做错以后算谁的,协议一个字都没写。证明已经建成,裁决还是空地。

空地总会有人来占。谁的规则能占住?这才是真正的难题。

四、生而全球的交易,属地而治的法律

Agent 生而全球。模型在美国的服务器上运行,用户坐在香港,商户在新加坡,结算走 USDC——这笔交易的"发生地"在哪里,没有答案。

法律管得住有地址的人,管不住没有身体的 agent。属地监管抓得住端点,发卡行、持牌机构、商户都跑不掉;但交易的中段——授权的生成、执行、越权——悬在所有属地之外,他们落入多个法域,缺少一套能够随交易跨境传递、并在实时支付流程中执行的统一责任规则。

两大法域的现状,是两种形态的真空。

美国至今没有针对 agent 交易的专门监管,Reg E/Reg Z 的"授权了或没授权"二元框架被硬套在灰色地带上。缔约本身不是问题:ESIGN 法案 2000 年就承认了"电子代理人"缔结的合同,后果归属于人。真空在缔约之后——agent 越权的责任分配,没有专门规则,没有判例。

欧盟走得更耐人寻味:AI 责任指令(AILD)在 agent 大规模商用的前夜、2025 年 10 月被正式撤回,官方理由是 27 个成员国"无可预见的共识"。主权立法连一个关税同盟内部都统一不了规则,而 agent 天然跨全球执行。PSD3 留下另一道缝:强客户认证(SCA)是为拿着手机的人设计的,agent 没有指纹,什么能替代,监管至今没有确认。

目前最接近全球一致、并能在支付链中直接执行的私人规则,仍然是卡组织规则。它的执行力不来自法院,来自"我可以拒绝这笔交易"。

填空的全是私人秩序——Amex 用商业承诺分配责任;Visa 给协议合规的交易做 chargeback 责任转移,复刻当年 3DS 的剧本;慕尼黑再保险等三家保险机构已经开卖 AI 责任险,agent 错误率超过约定阈值即赔付。

协议规格、卡组织规则、保单条款,agent 支付的责任规则正在由这三样东西写成——立法发生在法律之外。而这些私人规则在给责任定价时,看的都是同一样东西:授权书的边界画得多细。

Amex 的保护只覆盖"注册 agent 出错"——边界越精确,"出错"的定义越窄,敞口越小;保险的赔付阈值、卡组织的 liability shift 条件,锚定的也是同一个变量。

授权边界的精度,就是责任的价格。

换句话说:裁决的空地上,最先立起来的不是法律,是价格表——卡组织的规则、保险的费率、Amex 的条款,都在给"做错了算谁的"标价。立法者还没进场,定价者已经开工。

五、AI 支付的三条路,一张地图

Chargebacks911 警告,行业在从错误的一端建设:前端的授权框架全部上线,交易后的争议基础设施——争议如何分类、责任如何分配、证据如何采信——几乎没人动工。未来的争议不再问"你授权了吗",而问"agent 越出边界了吗"。回答所需的全部证据,已经躺在授权书的签名链里。

那张新加坡机票的争议,今天提交,没有一个裁判庭知道怎么审。

而更诚实的现实是:今天的市场,大部分还没走到这一步。Instant Checkout 退役后,主流退回了"AI 负责发现,人类确认结账"。人按下最后那个确认键,授权重新锚定在传统模式上,本文讨论的问题被暂时绕开。但订阅续费、限价抢购、B2B 采购、机器对机器结算——这些交易注定要在人不在场时完成。

市场退回人工确认,不是因为这一层不重要,恰恰是因为它还没被建好。

2

回到开头的 AI 支付三条路,现在可以看清每一条的责任路径和它能走多远。

链上直付,责任要么悬空,要么由代码和声誉替代。智能合约事前约束能封住边界,声誉注册表能记录信用(ERC-8004),但一旦交易出错,没有 chargeback,没有退票,终局就是终局。

它天然适配的场景是机器对机器——算力交易、API 调用、token 消耗,双方都是代码,商品即买即耗,不需要消费者保护。链上直付买得了算力,买不了那张新加坡的机票。超出即耗商品的边界,它需要 MPP 这样的信封包一层授权,本质上是向卡轨的逻辑靠拢。

卡轨,责任由网络规则承接,介于两者之间,正在全力布局。卡组织手里有两样别人没有的东西:覆盖全球的受理网络,和五十年磨出来的责任分配规则——从 chargeback 到 liability shift 到 3DS,一整套争议基础设施。TAP、VI、AP2 正在把这套存量改造成 agent 能用的形态。

场景是消费侧的一切——订阅、代购、出行、零售,只要交易的一端站着一个需要保护的消费者。它的优势是责任有归属、争议有通道;它的问题是所有规则都在修,还在适配阶段。

钱包与 credits,责任由用户预付,场景收缩到单一生态内部。充值即授权,余额即边界,花完即终局。这是三条路里最先落地的一条——支付宝公布截至 2026 年 5 月累计完成 3 亿笔 AI 智能体支付,但仔细看,多数是生态内的购物助手,AI 帮你在淘宝比价、凑单、下单,支付走的还是支付宝闭环,争议走的还是平台规则。

它之所以最先落地,不是因为解决了授权问题,是因为把问题缩小到了不需要解决的程度:单一商户、单一钱包、单一规则,消费者、商户和支付机构是同一个平台。这也是噪音最大的一条——把生态内的 AI 购物助手叫做"agentic payment",会让人误以为问题已经解了。

三条路,三种责任设计,三个市场边界。它们不是在竞争同一块蛋糕,而是沿着争议密度各自画地:争议为零的归链和稳定币,争议复杂的归卡,争议被回避的归钱包。

真正的战场在边界交叉的地方——agent 先用 credits 比价,再用卡下单,用稳定币结给供应商,三条路在同一笔交易里交汇。

所有协议、投资和规则,都在为那一天做准备。而那一天来不来,取决于一件事:证明之后的那道题——做错了算谁的——有没有人给出让三方都服气的答案。

规则正在被写。写的人,不在议会里,在协议文档和保单条款里。

相关推荐

  • 一个智谱等于十个MiniMax:羊还在 猪没了

    2026年7月9日,港股上演了一出黑色幽默。MiniMax迎来上市后首轮解禁,股价盘中跌超20%,市值击穿千亿港元大关,收缩至900亿附近,距离3月那个4100...

    Border circle 算力局 2026-07-10 16:07:43 0 0 1145

  • Gemini :Google 推出的一款高级 AI 服务

    Gemini 是 Google 推出的一款高级 AI 服务,提供强大的功能和性能,专为需要处理复杂任务、提高效率和激发创意的用户设计。它整合了 Google 最...

    Border circle SamABC 2026-07-03 16:55:49 0 0 370