Данный отчет подготовлен Tiger Research.ИИ-агенты уже могут самостоятельно заключать контракты, производить платежи и совершать сделки. Но одна проблема остается нерешенной: как узнать, кто на самом деле этот агент по ту сторону? В этой статье рассматриваются различные подходы четырех игроков в борьбе за стандарт KYA, а также на каком этапе уже находится регулирование.
Ключевые моменты
- ИИ-агенты вступают в эру автономного исполнения контрактов, платежей и сделок, но на рынке еще нет единого стандарта для проверки их идентичности. В сценариях A2A (агент-агенту) внимание все больше смещается от KYC к KYA.
- KYA нужна не везде. Во внутренней среде централизованных платформ, таких как Google, OpenAI, Coinbase, достаточно существующего KYC. Реальная потребность в KYA возникает, когда независимо развернутые агенты подключаются к DEX, совершают A2A-платежи или платежи торговцам.
- Борьба за стандарты уже началась. ERC-8004, Visa TAP, Trulioo и Sumsub подходят к вопросу с четырех совершенно разных направлений: ончейн, платежные сети, сертификация соответствия и детекция рисков.
- Регуляторы уже действуют. Европейский акт об ИИ, американский NIST и национальная рамка Сингапура — все включили управление идентичностью агентов в приоритетные задачи. Правило FATF 2019 года «о поездках» определило, какие криптобиржи выживут; сценарий с KYA, скорее всего, повторится.
1. Почему именно сейчас
Какой слой изменил KYC в финансах
До 1989 года в глобальных финансах не было единых стандартов идентичности. Этот вакуум позволял наркоденьгам и «черному налу» с трудом отслеживаться до источника. Только после создания FATF в том году KYC стало жестким требованием для финансовой отрасли, отсекая нелегальные средства.
Последующие тридцать лет влияние KYC распространялось слой за слоем. После 11 сентября 2001 года с добавлением положений о противодействии финансированию терроризма, американский «Патриотический акт» сделал KYC юридическим обязательством. В 2010-х годах были внедрены европейская AMLD, Базель III, FATCA, и информация о трансграничном KYC начала автоматически обмениваться. В 2019 году правило FATF «о поездках» распространило KYC на поставщиков услуг с виртуальными активами.
Каждое расширение закрывало очередной пробел.
Без идентичности агентов система делает шаг назад
Вернемся в настоящее. ИИ-агентам не нужно присматривание человека, они сами могут заключать контракты, платить, совершать сделки. Но никто не может проверить, кто они.
В среде A2A принадлежность ответственности размыта. В случае проблемы непонятно, к кому обращаться. Пользователи также легко могут столкнуться с отмыванием денег и разнообразным мошенничеством.
Поставьте финансы до 1989 года и рынок агентов 2026 года рядом — структура поразительно похожа. Тогда это были анонимные счета, перемещающиеся через границы, сегодня — непроверенные агенты в A2A-сделках. Тогда ответственность за проверку лежала на каждом банке в отдельности, сегодня — на каждой платформе в отдельности. Общего стандарта не было и нет.
Такое сходство не случайность, а закономерность. Технологии вырвались вперед, слой идентичности не поспел.
Что такое KYA
KYA (Know Your Agent) — это механизм доверия, заранее проверяющий происхождение, полномочия и принадлежность ответственности агента.
Пропустив этот шаг, одновременно возникают три риска. Первый — несанкционированные сделки: пользователь разрешил только платеж, а агент перемещает активы, заключает договоры за пределами своих полномочий. Второй — подделка идентичности: вредоносный агент выдает себя за легитимного, перехватывая платежи, подделывая ответы, используя чужую репутацию. Третий — вакуум ответственности: при возникновении проблемы агент, разработчик и принципал перекладывают вину друг на друга, возмещение взыскать невозможно.
KYA как раз и призвана заблаговременно заблокировать эти три вещи. Предварительная регистрация и верификация объема полномочий — несанкционированные действия блокируются напрямую. Проверка идентичности и происхождения — допускаются только легитимные агенты. Источник и принципал каждого агента привязываются к записи, что позволяет произвести追溯 в случае инцидента.
2. Где будет работать KYA
Не везде это нужно
Внутри централизованных платформ KYA особо не нужна. Пользователь прошел KYC, сама платформа выступает гарантом, вся цепочка замкнута.
KYA нужна в открытой среде за пределами платформы. Когда агенту нужно подключиться к DEX, совершить A2A-платеж, заплатить торговцу. Тут уже никто не выступает гарантом и не может поручиться за него.
Приведем аналогию. Для перемещений внутри страны достаточно внутреннего паспорта (KYC). Как только пересекаешь границу (выходишь за пределы платформы), среда меняется, и на пункте въезда необходимо пройти проверку (KYA), пояснив цель и доказав свою надежность.
Четырехэтапный процесс
Работу KYA можно разбить на четыре шага. Первые два — «выдача паспорта»: сначала регистрация идентичности и полномочий агента, после проверки — выдача цифрового паспорта. Следующие два — «пограничный контроль»: при совершении сделки подтверждение личности контрагента, а затем обновление записи на основе результата сделки.
Идентичность не выдается один раз и навсегда, а перепроверяется при каждой сделке.
3. Четыре игрока борются за стандарт
В борьбе за стандарты на данный момент есть четыре игрока с совершенно разными подходами.
ERC-8004: превращая идентичность в NFT
ERC-8004 идет по чисто ончейн-пути. Она добавляет поверх ERC-721 слой идентичности, каждому агенту чеканится NFT в качестве уникального ID.
В комплекте идут три ончейн-реестра. Identity отвечает за «кто этот агент», основываясь на уникальном AgentID по ERC-721. Reputation отвечает за «можно ли с ним совершать сделки», оставляя в блокчейне оценку, теги и доказательства после сделки. Validation отвечает за «действительно ли он совершил то действие», проверяемое сторонними валидаторами с помощью плагинов, таких как zkML, TEE и т.д.
Такая структура не впервые появляется в истории Ethereum. ERC-20 стандартизировала выпуск токенов, на ее основе построены USDT, USDC, UNI, AAVE. ERC-721 стандартизировала выпуск NFT, CryptoPunks, BAYC, ENS поддержали весь рынок NFT. Роль ERC-8004 — стать третьим стандартом на аналогичной позиции.
Visa TAP: упаковка через платежную сеть
Подход Visa совершенно иной. Она выдает агенту учетные данные (Agent Intent), что-то вроде карты. Без этого ключа агент не может даже инициировать транзакцию. Visa предварительно одобряет и только потом выдает ключ, каждая транзакция должна содержать подпись для торговца.
Торговец получает не одну, а три подписи. Agent Intent доказывает легитимность агента, заверенная ключом, одобренным VIC. Consumer Recognition указывает, от чьего имени он действует, передавая торговцу идентификатор пользователя. Payment Information обеспечивает гарантию платежа, завершая аутентификацию с помощью платежного токена или хэшированной информации о карте.
Visa поместила эту систему в более крупный пакет под названием Visa Intelligent Commerce (VIC). Помимо TAP, в него входят Agent APIs (проприетарные технологии, используемые при оплате картами Visa), Tokenization (токены, специально выпускаемые для ИИ), а также Intelligent Commerce Connect (совместимость с конкурирующими протоколами, такими как AP2, ACP, x402).
Логика понятна. Visa в свое время захватила вход в платежную сеть, теперь хочет встроить эпоху агентов в свою орбиту. Если платежи агентов продолжат идти через карточные сети, а этот пакет станет опцией по умолчанию, доля Visa останется стабильной.
Trulioo: перенос подхода SSL
Trulioo — игрок на глобальном рынке соответствия требованиям KYC, KYB, теперь расширяющий стек верификации до KYA.
Она заимствует модель SSL-сертификатов для веб-сайтов. SSL — это когда CA (Certificate Authority) выдает TLS-сертификат сайту, проверяя только доменное имя. Предлагаемая Trulioo DPA (Digital Passport Authority) выдает DAP (Digital Agent Passport) агенту, проверяя KYB разработчика плюс KYC пользователя.
DAP — это не статичный сертификат. Это «живой» токен, который обновляется, перепроверяясь при каждой транзакции. Как только полномочия отозваны или обнаружена аномалия, DAP немедленно аннулируется.
У него есть пять контрольных точек: Provenance (кто разработчик), User Binding (кто уполномочил), Permission Scope (какие действия разрешены), Behavior Telemetry (что делает сейчас), Risk Scoring (оценка риска).
Банки и финтех-компании по закону обязаны проверять идентичность физических лиц и компаний. Как только агенты войдут в финансовую сферу, позиция Trulioo в области KYC, KYB станет только прочнее.
Sumsub: слежка за аномалиями, без выдачи сертификатов
Точка входа Sumsub отличается от трех предыдущих. Она не устанавливает стандарты и не выдает сертификаты, а перепроверяет человека, стоящего за агентом, когда тот совершает подозрительную сделку.
С 2015 года она занимается бизнесом соответствия, и эта система проверки теперь используется для детекции аномального поведения агентов. Процесс состоит из трех шагов. Сначала автоматическое обнаружение, отличающее человека от машины по характеристикам устройства и агента. Затем оценка риска, учитывающая контекст, сумму, исторические данные. И наконец, Liveness-верификация, запускаемая только при высоком риске, крупных суммах, критических изменениях, чтобы повторно сверить зарегистрированного реального человека.
Четыре характеристики Sumsub резко контрастируют с другими игроками. Ее отправная точка — оператор соответствия, а не разработчик стандартов. Момент верификации — при возникновении рискованной сделки, а не при предварительной регистрации. Метод верификации — повторное подтверждение личности реального человека, а не данных или токена. Философия — связывать агента со стороной, несущей ответственность, а не напрямую блокировать агента.
Другие игроки занимаются предварительной разовой аутентификацией, Sumsub — верификацией в реальном времени после выдачи «документов». Чем больше расширяются полномочия агента, тем важнее детекция аномалий. Мошеннические методы развиваются вместе с технологиями, стек реального времени от Sumsub заслуживает внимания.
4. До внедрения регулирования
Сценарий правила FATF о «поездках»
Как только в 2019 году вступило в силу правило FATF о «поездках», индустрия VASP мгновенно раскололась. Выжили те, кто смог выдержать затраты на инфраструктуру KYC/AML, остальные закрылись или переехали в юрисдикции с мягким регулированием. CryptoBridge, Deribit были вынуждены измениться в той волне.
Регулирование — не финишная черта, а водораздел.
Сценарий с KYA, вероятно, будет аналогичным. ЕС, Сингапур, США уже спешат занять лидирующие позиции.
Статья 12 Европейского акта об ИИ прямо требует, чтобы журналы действий систем ИИ высокого риска включали идентификацию оператора. Сингапур выпустил первую в мире национальную рамку управления ИИ-агентами, распространив управление идентичностью на агентов и требуя, чтобы у каждого агента была ответственная сторона, несущая ответственность. Американский NIST включил управление идентичностью агентов в приоритетные области стандартизации.
Временное окно сужается.
Единственного победителя не будет
Настоящая переменная в борьбе за стандарты — не технологии, а комбинации. Основные игроки уже вступили в фазу сотрудничества и объединения. То, с какими торговцами, платежными сетями, клиентскими базами KYC они в итоге скомбинируются, определит принадлежность каждого сегмента рынка.
Единственного победителя на этом рынке не будет.
В сфере ончейн-автономных сделок, скорее всего, лидирует Ethereum. В сценариях транзакций, привязанных к платежам, явное преимущество у Visa. В регулируемом финансовом секторе накопленный опыт Trulioo в области KYC/KYB незаменим. В сценариях транзакций с риском мошенничества более подходит детекция в реальном времени от Sumsub.
Эти четверо — не прямые конкуренты, они занимают свои ниши. Настоящая конкуренция развернется за то, какие сценарии попадут в какую нишу.
KYC потребовалось тридцать лет, с 1989 года до сегодняшнего дня, чтобы завершить слой идентичности в глобальных финансах.
В этом раунде с KYA темп, судя по всему, будет намного выше. Регуляторы уже действуют, игроки в области стандартов уже расставили силы, временное окно для масштабного развертывания, возможно, составит всего несколько ближайших лет.
В конечном итоге выживут не обязательно те, у кого самая передовая технология, а те, кто раньше всех интегрировал инфраструктуру идентичности.
