Laporan ini ditulis oleh Tiger Research.Agen AI sudah bisa membuat kontrak sendiri, membayar sendiri, dan bertransaksi sendiri. Tetapi ada satu masalah yang belum terpecahkan: Bagaimana kamu tahu siapa sebenarnya agen yang di seberang sana itu? Artikel ini merinci empat pendekatan berbeda para pemain dalam perebutan standar KYA, serta sejauh mana regulasi sudah bergerak.
Poin Inti
- Agen AI memasuki era eksekusi kontrak, pembayaran, dan transaksi yang otonom, namun belum ada standar tunggal di pasar untuk memverifikasi identitas. Dalam skenario A2A (agen ke agen), KYA mulai mendapat perhatian lebih besar daripada KYC.
- KYA tidak dibutuhkan di mana-mana. Di dalam platform terpusat seperti Google, OpenAI, Coinbase, KYC yang ada sudah cukup. Yang benar-benar membutuhkan KYA adalah saat agen yang di-deploy secara independen mengakses DEX, melakukan pembayaran A2A, dan pembayaran kepada merchant.
- Perebutan standar sudah dimulai. ERC-8004, Visa TAP, Trulioo, Sumsub masing-masing masuk dari empat arah berbeda: on-chain, jaringan pembayaran, sertifikasi kepatuhan, dan deteksi risiko.
- Regulasi sudah bergerak. Undang-Undang AI Uni Eropa, NIST AS, dan kerangka kerja tingkat nasional Singapura telah menempatkan manajemen identitas agen sebagai prioritas. Aturan Perjalanan FATF 2019 menentukan bursa kripto mana yang bertahan. KYA kemungkinan besar akan mengulang skenario yang sama kali ini.
1. Mengapa Sekarang?
KYC Membentuk Ulang Lapisan Keuangan Itu
Sebelum 1989, tidak ada standar identitas global di keuangan dunia. Kekosongan ini membuat uang narkoba dan uang haram sulit dilacak sumbernya. Hingga tahun itu FATF didirikan, KYC baru menjadi persyaratan wajib di industri keuangan, yang menghalangi masuknya dana ilegal.
Selama tiga puluh tahun setelahnya, pengaruh KYC berkembang lapis demi lapis. Setelah 2001 9/11 ditambah dengan klausul pendanaan teror, U.S. Patriot Act mengangkat KYC menjadi kewajiban hukum. Pada tahun 2010-an, AMLD Uni Eropa, Basel III, dan FATCA diberlakukan berturut-turut, pertukaran informasi KYC lintas batas mulai otomatis. Pada tahun 2019, Aturan Perjalanan FATF memperluas KYC ke penyedia layanan aset virtual.
Setiap perluasan, adalah menambal sebuah kekosongan.
Tanpa Identitas Agen, Sistem Mundur
Kembali ke masa sekarang. Agen AI tidak memerlukan pengawasan manusia, mereka bisa membuat kontrak, membayar, dan bertransaksi sendiri. Tetapi tidak ada yang bisa memverifikasi siapa mereka.
Di lingkungan A2A, pertanggungjawaban sangat kabur. Ketika ada masalah, tidak ada yang jelas siapa yang harus dicari. Pengguna juga mudah terjebak pencucian uang dan berbagai penipuan.
Menyandingkan keuangan sebelum 1989 dengan pasar agen tahun 2026, strukturnya sangat mirip. Dahulu adalah akun anonim yang bergerak lintas batas, hari ini adalah agen yang belum terverifikasi bertransaksi A2A. Dahulu tanggung jawab verifikasi ada di tangan masing-masing bank, hari ini ada di tangan masing-masing platform. Tidak ada standar bersama.
Kesamaan ini bukan kebetulan, itu pola. Teknologi maju lebih dulu, lapisan identitas tertinggal.
Apa itu KYA?
KYA (Kenali Agen Anda) adalah mekanisme kepercayaan yang memverifikasi asal, wewenang, dan pertanggungjawaban agen sebelumnya.
Melewati langkah ini, tiga risiko akan muncul bersamaan. Pertama, transaksi melebihi wewenang: pengguna hanya mengotorisasi pembayaran, tetapi agen memindahkan aset, menandatangani kontrak di luar cakupan. Kedua, pemalsuan identitas: agen jahat menyamar sebagai yang sah, membajak pembayaran, memalsukan respons, mencuri kredibilitas. Ketiga, kekosongan tanggung jawab: setelah terjadi masalah, agen, pengembang, dan pemberi kuasa saling menyalahkan, ganti rugi sulit dituntut.
Yang dilakukan KYA adalah mengunci tiga hal ini sebelumnya. Mendaftarkan dan memverifikasi cakupan wewenang sebelumnya, aksi yang melampaui wewenang langsung diblokir. Memverifikasi identitas dan asal, hanya mengizinkan agen sah masuk. Asal dan pemberi kuasa setiap agen terikat dalam catatan, sehingga dapat dilacak jika ada masalah.
2. Di Mana KYA Harus Beroperasi?
Tidak Diperlukan di Semua Tempat
Di dalam platform terpusat sebenarnya tidak terlalu membutuhkan KYA. Pengguna sudah melakukan KYC, platform juga menanggung sendiri, seluruh rantai tertutup.
Yang membutuhkan KYA, adalah lingkungan terbuka setelah keluar dari platform. Agen perlu terhubung ke DEX, melakukan pembayaran A2A, membayar ke merchant. Saat itu, tidak ada yang menanggung, dan tidak ada yang bisa menjaminnya.
Sebagai analogi. Bergerak di dalam satu negara, kartu identitas (KYC) sudah cukup. Begitu melintasi perbatasan (keluar platform), lingkungan berubah, harus diperiksa di pintu masuk (KYA), menjelaskan tujuan dan kredibilitas.
Proses Empat Langkah
Operasi KYA dapat dipecah menjadi empat langkah. Dua langkah pertama adalah "penerbitan paspor": mendaftarkan identitas dan wewenang agen, setelah verifikasi, menerbitkan paspor digital. Dua langkah berikutnya adalah "pemeriksaan imigrasi": memastikan identitas pihak lain saat transaksi terjadi, lalu memperbarui catatan berdasarkan hasil transaksi.
Identitas tidak berlaku permanen hanya dengan sekali terbit, tetapi diperiksa kembali setiap transaksi.
3. Empat Pemain Berebut Standar
Dalam perebutan standar, saat ini ada empat pemain, dengan jalur yang sangat berbeda.
ERC-8004: Jadikan Identitas sebagai NFT
ERC-8004 mengambil jalur murni on-chain. Ini menambahkan lapisan identitas di atas ERC-721, setiap agen dicetak sebagai NFT sebagai ID tunggal.
Ditemani tiga register on-chain. Identity bertanggung jawab atas "siapa agen ini", berdasarkan AgentID unik ERC-721. Reputation bertanggung jawab atas "apakah bisa bertransaksi dengannya", meninggalkan penilaian, label, bukti di rantai setelah transaksi selesai. Validation bertanggung jawab atas "apakah itu benar-benar melakukan hal itu", diverifikasi oleh validator pihak ketiga melalui plugin seperti zkML, TEE.
Struktur seperti ini bukan pertama kalinya muncul dalam sejarah Ethereum. ERC-20 menstandarisasi penerbitan token, USDT, USDC, UNI, AAVE semuanya dibangun di atasnya. ERC-721 menstandarisasi penerbitan NFT, CryptoPunks, BAYC, ENS menopang seluruh pasar NFT. Yang ingin dimainkan ERC-8004 adalah standar ketiga di posisi yang sama.
Visa TAP: Mengemas dengan Jaringan Pembayaran
Pemikiran Visa sangat berbeda. Visa menerbitkan kredensial identitas untuk agen (Agent Intent), setara dengan kartu. Tanpa kunci ini, agen bahkan tidak dapat memulai transaksi. Visa memberikan kunci hanya setelah pra-persetujuan, setiap transaksi harus membawa tanda tangan untuk merchant.
Yang diterima merchant bukan satu tanda tangan, tapi tiga. Agent Intent membuktikan legalitas agen, didukung oleh kunci yang disetujui VIC. Consumer Recognition menjelaskan untuk siapa ia bekerja, meneruskan pengenal pengguna ke merchant. Payment Information memberikan jaminan pembayaran, menggunakan token pembayaran atau informasi kartu yang di-hash untuk menyelesaikan autentikasi.
Visa memasukkan semua ini ke dalam paket yang lebih besar, disebut Visa Intelligent Commerce (VIC). Di dalamnya, selain TAP, ada Agent APIs (teknologi sendiri yang berjalan saat kartu Visa digunakan), Tokenization (token yang dikhususkan untuk AI), serta Intelligent Commerce Connect (kompatibel dengan protokol pesaing seperti AP2, ACP, x402).
Logikanya jelas. Visa dulu merebut pintu masuk jaringan pembayaran, sekarang ingin mengemas era agen juga ke dalam orbitnya sendiri. Jika pembayaran agen terus berjalan melalui jaringan kartu, dan paket ini menjadi pilihan default, pangsa Visa akan stabil.
Trulioo: Mencontoh Sistem SSL
Trulioo adalah pemain di jalur kepatuhan KYC, KYB global, sekarang memperluas tumpukan verifikasi ke KYA.
Mereka mengadaptasi model sertifikat SSL situs web. SSL adalah CA (Certificate Authority) menerbitkan sertifikat TLS ke situs web, yang diverifikasi hanyalah domain. DPA (Digital Passport Authority) yang diusulkan Trulioo menerbitkan DAP (Digital Agent Passport) ke agen, yang diverifikasi adalah KYB pengembang plus KYC pengguna.
DAP bukan sertifikat statis. Itu adalah token hidup yang diperbarui, diverifikasi ulang setiap transaksi. Begitu delegasi ditarik atau anomali terdeteksi, DAP segera dinonaktifkan.
Ini memiliki lima titik pemeriksaan: Provenance (dibuat oleh pengembang mana), User Binding (siapa yang mengotorisasi), Permission Scope (pekerjaan apa yang dapat dilakukan), Behavior Telemetry (sedang melakukan apa sekarang), Risk Scoring (peringkat risiko).
Bank dan fintech secara hukum harus memverifikasi identitas orang dan perusahaan. Begitu agen memasuki bidang keuangan, posisi KYC, KYB Trulioo justru semakin kuat.
Sumsub: Awasi Anomali, Tidak Menerbitkan Sertifikat
Titik masuk Sumsub berbeda dengan tiga lainnya. Mereka tidak menerbitkan standar atau sertifikat, tetapi ketika agen melakukan transaksi anomali, mereka memverifikasi ulang orang di belakangnya.
Mereka sudah menjalankan bisnis kepatuhan sejak 2015, sistem verifikasi itu sekarang digunakan untuk mendeteksi perilaku anomali agen. Prosesnya dibagi menjadi tiga langkah. Pertama, deteksi otomatis, membedakan manusia dan mesin melalui perangkat dan karakteristik agen. Lalu, penilaian risiko, memberikan skor risiko berdasarkan konteks, jumlah, dan data historis. Terakhir, verifikasi Keaslian, hanya diaktifkan saat risiko tinggi, jumlah besar, perubahan kunci, untuk memeriksa ulang orang yang terdaftar.
Empat karakteristik Sumsub membentuk kontras jelas dengan pemain lain. Titik awalnya adalah operator kepatuhan, bukan pembuat standar. Waktu verifikasi saat transaksi berisiko terjadi, bukan saat pendaftaran. Metode verifikasi adalah konfirmasi ulang manusia langsung, bukan data atau token. Filosofinya adalah mengikat agen dengan pihak yang bertanggung jawab, bukan langsung memblokir agen.
Pemain lain melakukan verifikasi identitas satu kali sebelumnya, Sumsub melakukan verifikasi real-time setelah penerbitan sertifikat. Semakin luas wewenang agen, deteksi anomali semakin kritis. Metode penipuan mengikuti peningkatan teknologi, tumpukan real-time Sumsub patut diperhatikan.
4. Sebelum Regulasi Berlaku
Skenario Aturan Perjalanan FATF
Begitu Aturan Perjalanan FATF 2019 keluar, industri VASP langsung terbelah. Yang mampu menanggung biaya infrastruktur KYC, AML bertahan, yang tidak mampu tutup atau pindah ke tempat dengan regulasi lebih longgar. CryptoBridge, Deribit harus menyesuaikan diri dalam gelombang itu.
Regulasi bukan akhir, itu garis pemisah.
KYA kali ini mungkin memiliki skenario yang sama. Uni Eropa, Singapura, dan AS sudah berebut posisi terdepan.
Pasal 12 Undang-Undang AI Uni Eropa dengan jelas mensyaratkan bahwa log perilaku sistem AI berisiko tinggi harus mencakup identitas operator. Singapura merilis kerangka tata kelola AI agen tingkat nasional pertama di dunia, memperluas manajemen identitas ke agen, mensyaratkan setiap agen memiliki pihak yang bertanggung jawab. NIST AS menempatkan manajemen identitas agen sebagai bidang standar prioritas.
Jendela waktu semakin mengecil.
Tidak Ada Pemenang Tunggal
Variabel sebenarnya dalam perebutan standar bukan teknologi, tapi kombinasi. Pemain utama sudah memasuki tahap kerja sama dan kombinasi. Selanjutnya, siapa yang berpasangan dengan merchant, jaringan pembayaran, dan pelanggan KYC mana, akan menentukan kepemilikan setiap segmen pasar.
Pasar ini tidak akan memiliki pemenang tunggal.
Untuk transaksi otonom on-chain, kemungkinan besar Ethereum memimpin. Untuk skenario transaksi yang terikat pembayaran, Visa memiliki keunggulan jelas. Di industri keuangan yang teregulasi, akumulasi KYC, KYB Trulioo sulit digantikan. Untuk skenario transaksi dengan risiko penipuan, deteksi real-time Sumsub lebih cocok.
Empat pihak ini bukan lawan langsung, mereka masing-masing menduduki satu wilayah. Persaingan sebenarnya terjadi di skenario mana yang dimasukkan ke wilayah mana.
KYC dari tahun 1989 hingga hari ini, membutuhkan tiga puluh tahun untuk menyelesaikan lapisan identitas keuangan global.
Dalam putaran KYA ini, iramanya tampaknya akan jauh lebih cepat. Regulasi sudah bergerak, pemain standar sudah bersiap, jendela waktu untuk deployment skala besar mungkin hanya beberapa tahun ke depan.
Ketika saatnya tiba, yang bertahan belum tentu yang teknologinya terkuat, tapi yang infrastruktur identitasnya terhubung paling awal.
