夜雨聆风
AI支付深度谈①(框架篇):底层框架没搞懂,产品做再多也白搭
当支付决策主体从人迁移到Agent
支付是货币文明最底层的运行秩序。从实物交割到扫码支付,人类支付文明的迭代始终围绕媒介形态、效率成本展开。但文明基底从未发生本源性变革:所有交易主体均为人类自身,机器仅承担信息传递和记账划转的工具角色。
这一格局正在被打破。随着通用人工智能与Agent技术的成熟,支付形态开始突破“人类主导”的固有框架。然而,行业普遍陷入技术工具论误区——将AI支付等同于银行代扣、智能合约转账、物联网自动支付,仅视为传统支付链路的效率优化,忽视了其在主体匹配、契约合意、对价交割、履约验收、纠纷溯源层面的本质差异。
核心判断:AI支付不是支付动作的自动化,而是支付决策主体从人到Agent的迁移。这一迁移引发的是支付本体的结构性变革,并由此导致支付底层框架的颠覆性变化。
一、破题:戳破“伪AI支付”的泡沫
传统支付:银行卡、互联网扫码、第三方平台、加密稳定币、固定条件型智能合约,统一归属于人类派生支付。其核心特征是交易主体始终是人,机器只是实现工具。交易双方均为自然人或法人;契约合意依赖“要约-承诺”结构及密码、签名等肉身凭证固化;对价交割依赖银行实名记账;履约验收依赖人类线上线下执行;所有权与使用权统一于同一主体;责任归属严格遵循“行为主体=责任主体”原则。
判定标准只有一个:
“凭什么发起这笔支付?”
·答案是“因为人类之前设过规则、点过按钮、写过代码、设过阈值”——伪AI支付。
·答案是“因为Agent基于当前情境、任务目标和人类预设边界,自主判断应该发起”——这才是AI支付。
伪AI支付穿了一件“无人化”的外衣,内里仍是指令。AI支付的内里,是一个在规则边界内自主判断、自主行动的智能体。外衣相似,内核迥异。
|
伪AI形态 |
本质缺陷 |
|
银行自动代扣 |
签约时行使主权,扣款只是指令的延时落地 |
|
免密支付 |
实时决策买什么、选哪个商品,只省略最后一步验证 |
|
区块链智能合约 |
if(条件){执行},不判断价格是否合理、交易是否可疑 |
|
物联网固定扣款 |
设置阈值时行使主权,设备只机械执行,不理解“为什么要充电” |
二、立论:主权支付三阶模型(AI支付闭环框架)
2.1 严格定义
AI支付,是指在人类预设的规则围栏与物权边界内,由支付智能体作为受限使用权主体,基于情境推理自主完成契约合意、对价交割与履约验证的无人化价值流转行为。
三层递进逻辑:第一,支付决策主体从人类变为支付智能体——这是唯一的自变量。不是“更快”“更便宜”,而是“谁在决策”发生了根本切换。第二,智能体所有行为封闭在人类预设的规则边界之内,人类保有终极主权。 自主不是无限权利。第三,智能体仅获得受限使用权,所有权与处分权永久归属于人类。 Agent可以“花”,不能“占有”;可以“决策”,不能“处分”。
2.2 “支付AI”与“业务AI”必须分开
很多人把“帮你决定买什么”和“帮你决定怎么付”混为一谈。
-
业务AI:将模糊意图解析为确定支付指令。用户说“帮我买杯咖啡”,它判断美式还是拿铁,输出“请支付星巴克美式,35元”。
-
支付AI:接收已确定的支付指令,职责是在围栏内选择最优支付执行策略——走哪张卡、是否归集资金、汇率是否有利、交易是否存在风险。
支付AI不关心“为什么是美式”,只管“怎么付最优”。本模型全部围绕支付AI展开。
2.3 三阶12层传导链
主权支付三阶模型将AI支付行为解构为一条完整的主权意志传导链。三句话概括:
-
主权治理层是元层 —— 人类始终说了算(U1创设权、U2治理权、U3处置权、U4数据权)。
-
验证决策层是执行 —— Agent在围栏内自主决策(P1身份验证、P2诉求解析、P3策略决策、P4风险识别、P5链路存证)。
-
执行追溯层是救济 —— 完成资金清算,出事能追溯能举证(E1结算清算、E2纠纷举证、E3责任追溯)。
三层之间是主权注入→执行展开→救济闭合的递进关系。人类主权的完整性,取决于12层是否逐一落实。
|
层级 |
子层 |
核心功能 |
说明 |
|
主权治理层 |
U1 创设权 |
人类创建支付AI并授予初始权限 |
自主决定是否创建并生成唯一身份标识,形式包括专属钱包、配套虚拟卡、支付授权等 |
|
U2 治理权 |
人类主动调整AI行为边界 |
设定围栏规则(白名单/预算/品类/频率/数据访问范围),可主动修改或紧急熔断 |
|
|
U3 处置权 |
人类永久关闭AI |
回收其身份、资产及所有关联权限。AI无权自主选择主人或转让 |
|
|
U4 数据权 |
对隐私与数据安全的排他控制 |
AI产生及收集的所有数据,未经明确授权不得用于其他目的或向第三方披露 |
|
|
验证决策层 |
P1 身份验证 |
确认AI身份 |
加密签名验证、授权校验、KYA行为基线检测。验证失败则后续步骤中止 |
|
P2 诉求解析 |
理解确定的支付指令 |
接收业务AI输出的明确指令,解析为支付系统可执行的结构化参数 |
|
|
P3 支付决策 |
在围栏内选择最优执行策略 |
综合手续费、汇率、时效性、路由择优等因素。不管“该不该付”,只管“怎么付最优”,形成支付指令 |
|
|
P4 风险识别 |
校验是否存在欺诈、洗钱等风险 |
传统风险:黑名单、欺诈、反洗钱筛查、制裁名单扫描等;AI风险:模型幻觉、欺诈AI、恶意代理投毒等 |
|
|
P5 链路存证 |
记载P1到P4的完整决策与执行过程 |
形成可审计的决策轨迹,直接决定终局层纠纷举证的有效性 |
|
|
执行追溯层 |
E1 结算清算 |
完成收款方和付款方结算清算 |
法币:继承原有清算网络。稳定币:链上即时结算 |
|
E2 纠纷举证 |
争议时提供完整证据链 |
将P5存证和清算凭证打包为证据包,提交司法或仲裁机构 |
|
|
E3 责任追溯 |
法律空白、责任认定、损失追偿 |
AI无民事人格,全行业空白。人类所有者承担终极兜底责任 |
任何一个子层缺失,都是整体框架上的一道裂痕。
三、拆解:四大产品12层穿透
选取四个代表性产品,覆盖科技巨头、第三方支付、卡组织和Web3原生协议。
全局对比总览:
|
层级 |
子层 |
Google– AP2 |
Stripe– SPT |
Mastercard– Agent Pay |
Coinbase– Wallet+x402+Base |
|
主权治理层 |
U1 创设权 |
✅ |
⚠️ |
✅ |
✅ |
|
U2 治理权 |
✅ |
✅ |
✅ |
✅ |
|
|
U3 处置权 |
⚠️ |
✅ |
✅ |
⚠️ |
|
|
U4 数据权 |
⚠️ |
✅ |
✅ |
✅ |
|
|
验证决策层 |
P1 身份验证 |
✅ |
⚠️ |
✅ |
✅ |
|
P2 诉求解析 |
✅ |
❌ |
⚠️ |
✅ |
|
|
P3支付决策 |
❌ |
❌ |
❌ |
✅ |
|
|
P4 风险识别 |
✅ |
✅ |
✅ |
⚠️ |
|
|
P5 链路存证 |
✅ |
✅ |
✅ |
✅ |
|
|
执行追溯层 |
E1 结算清算 |
❌ |
✅ |
✅ |
✅ |
|
E2 纠纷举证 |
✅ |
✅ |
✅ |
❌ |
|
|
E3 责任追溯 |
❌ |
❌ |
❌ |
❌ |
3.1 Google AP2协议:两道授权锁定的“有限自主”
l产品定位:AP2是叠加在现有支付网络之上的“授权信任层”——不改变底层清算,只增加“谁在花钱、凭什么花钱、能否追溯”的信任语义。2025年9月发布,获Mastercard、PayPal、American Express、Coinbase等60余家合作伙伴参与。
l核心机制:通过“意向授权→购物授权→支付授权”三道加密签名凭证,将用户意图转化为可验证、可追溯的结构化约束条件。
1.意向授权:用户确认“我要购买海尔小户型静音洗衣机,预算不超过2000元”,AP2生成加密签名的授权凭证。
2.购物授权:AI助手展示最终购物车内容,用户通过设备硬件密钥签名确认,确保不可否认性。
3.支付授权:支付工具授权对象为“购物车授权书”而非商家,AP2向支付网络发送可验证凭证后完成资金转移。
l亮点(打✅): 验证决策层贡献最突出。P1身份验证通过加密签名防篡改,P2诉求解析将人类意图转化为结构化的金额、品类、时效约束,P5链路存证以两道授权令加支付凭证构成不可抵赖的加密审计轨迹。
l致命短板(打❌或⚠): P3策略决策——支付执行层可在信用卡、银行转账、x402等多轨通道中选择,但不具备“哪条轨最优”的自主判断能力。U3处置权仅靠撤销授权实现,系统性的身份注销机制未独立定义。E3责任追溯与全行业同步空白。
l战略启示:Google走的是“有限自主”路线——Agent在严格授权边界内执行,但最关键的“怎么付最优”现在只是支付渠道兼容,尚未实现最优。AP2的本质贡献是提供了“授权可追溯”的信任语义,但它本身不是支付网络,而是授权层。
3.2 Stripe SPT:令牌化治理的标杆
l产品定位: SPT是一张“可编程电子支票”——限定商家、限定金额、限定有效期、可随时撤销。2025年底发布,与Visa、Mastercard的“代理网络令牌”体系兼容。
l核心机制:将用户的支付能力“令牌化”——生成一个限定范围、时间、可撤销的支付凭证,支付执行层持令牌发起支付,全程不接触用户底层卡号。
l业务流程:买家在AI平台确认购物意图→AI平台通过Stripe API生成SPT并设定使用限制→SPT作为数字支付凭证发送商家→商家向Stripe发起支付请求→Stripe完成资金划转。
l亮点(打✅): 主权治理层贡献最突出。U2治理权——令牌限定范围由用户设定并随时可撤销,是人类“随时说不”的技术实现。U4数据权——支付执行层仅持有令牌标识符,无法接触底层卡号等原始凭证,从架构上结构性隔离敏感数据。P4风险识别——Stripe Radar实时检测欺诈交易、卡片测试等攻击行为。
l致命短板(打❌或⚠): P2诉求解析、P3策略决策均不参与——支付意图的结构化表达和支付路径选择分别由上层ACP协议和下层MPP协议完成。SPT的定位是执行层而非验证决策层,自主决策能力为零。
l战略启示:SPT不试图解决AI支付的全部问题,而是在一个关键点上打穿——让用户的支付能力被安全地、可控地、可撤销地“代理”出去。这是务实的单点极致策略。
3.3 Mastercard Agent Pay:银行级的“零自主”保守主义
l产品定位: 将传统卡网络的信用与治理能力系统性地延伸至AI代理。2025年中发布,核心策略是将Agent定位为“可信执行者”而非“自主决策者”。
l核心机制: 通过Know Your Agent注册、Agentic Token代理令牌、Payment Passkey安全验证、显式用户许可四大技术组件,构建银行级代理身份认证与权限控制体系。
1.Know Your Agent:AI代理在Mastercard网络上预先注册并通过身份认证。
2.Agentic Token:为每个代理分配唯一动态加密令牌,替代用户真实卡号。
3.Payment Passkey:基于FIDO标准的通行密钥进行客户身份验证和交易签名。
4.Explicit Consumer Consent:每笔交易前必须捕获消费者明确同意。
l亮点(打✅): 主权决策层四子层全部覆盖,是四家中主权覆盖最完整的。P1身份验证——三重绑定建立银行级强身份认证体系,是四家中最高水准。P4风险识别继承Mastercard现有风控基础设施。
l致命短板(打❌或⚠): P3策略决策被刻意留空——Agent不赋予独立的支付路径选择能力。请注意:这不是能力不足,而是主动设计。Mastercard的判断是:在AI自主性被充分验证前,不给自主权是最安全的策略。P2诉求解析的动态议价功能也有限,主要依赖用户指令与企业预设规则。
l战略启示: Mastercard选择的是“零自主权”路线。这是最安全的策略,但也意味着它对AI支付本体变革的参与是最浅的——支付决策主体的迁移在这里并未真正发生,Agent只是人类指令的忠实执行者。
3.4 Coinbase:链上自主的“去信任”实验
u产品定位:承认AI代理为独立经济主体,以Agentic Wallets为自主资金容器、x402为支付信令协议、Base为免Gas清算网络,构建链上闭环的AI支付基础设施。是四家中最激进的路线。
u核心机制:用公链和稳定币构建无需许可的全球支付网络,代理通过链上地址获得自主身份,通过稳定币实现即时最终清算,无需依赖卡组织或银行等中心化中介。
u三大组件:Agentic Wallets(2026年2月发布)是首个专为AI代理设计的钱包,内置Smart Security Guardrails安全围栏,私钥通过Enclave硬件安全隔离区确保不暴露给LLM。x402协议(2025年5月发布)复用HTTP 402状态码,将USDC稳定币支付嵌入互联网通信层,代理和软件可自动互相支付。Base网络(以太坊L2)提供免Gas交易和原生账户抽象,代理可使用USDC支付网络费用,无需持有专门网络代币。
u亮点(打✅): P3策略决策是四家中最激进的——代理在围栏内自主发现付费API、购买算力、支付存储费用,无需逐笔人工审批。E1结算清算——免Gas交易叠加USDC即时结算,高频小额微支付在经济上首次具备可行性。U1创设权——代理自主创建钱包,钱包地址即唯一链上身份标识,无需第三方注册。
u致命短板(打❌或⚠): E2纠纷举证是结构性致命伤——链上不可逆性与消费者保护天然冲突,交易存证完备但缺乏将链上轨迹转化为法定证据的标准化路径。P4风险识别——Base的合规筛查可拦截制裁地址,但精细欺诈检测依赖外部风控补充。E3责任追溯——链上不可逆性使这一问题后果比其他三家更严峻。
u战略启示: Coinbase用去信任化架构换取了策略决策和结算效率的极致表现,但在纠纷举证上付出了结构性代价。“出了事基本没得追”不是设计缺陷,而是去信任化路线的内在张力。这条路径能否走通,取决于链上治理与消费者保护机制能否补上缺口。
3.5 两大核心问题
其一,覆盖不足——集体空白与阵营分裂。
E3责任追溯是四款产品的集体空白——代理误操作导致损失后,终端追偿路径均未在产品层面定义,这是权责非对称在产业落地中的直接映射。
E2纠纷举证阵营分裂显著——Web2产品依托现有争议处理机制具备举证能力,Web3产品因链上不可逆性,存证完备但缺乏法定证据转化路径。同一笔AI支付交易,在传统卡网络中可以发起争议,在链上几乎无法追回。
U3处置权系统化程度不足——多数产品以“撤销授权”作为唯一实现方式,独立身份注销与资产回收机制缺失。核心问题是:当支付AI身份被泄露、权限被滥用时,仅“撤销授权”是否足以阻断损失?答案尚不明朗。
P4风险识别同样存在覆盖缺口——各家产品在欺诈检测、反洗钱等传统维度上相对成熟,但针对模型幻觉、欺诈AI、恶意代理投毒等AI原生风险,尚无一家建立系统性检测能力。
其二,路径分歧——三种哲学选择远未收敛。
P3策略决策的分歧最典型:Mastercard“零自主权”(Agent仅为可信执行者),Google“有限自主”(两道授权严格限定推理边界),Stripe和Coinbase“高度自主”(“调用即付费”)。三种路线代表三种哲学选择,孰优孰劣尚无定论。
U1创设权与U2治理权同样存在路径之争:Mastercard通过卡网络委托治理(信任基础是传统金融中介),Coinbase通过自托管钱包自主控制(信任基础是密码学),Google和Stripe居于中间(信任基础是平台)。各路径在安全性与用户体验的平衡上均未经验证。
更深层的变化在于支付底座——当决策主体从人切换为Agent,原有的主体认证、账户体系、结算网络、清算系统、风控模型、纠纷处理机制都需要系统性重构,而非局部修补。
决定产业演进节奏的,不是任一单点领先,而是空白子层何时填补、分歧子层何时收敛为行业共识。
四、预判:封闭ToB场景是唯一可行的商业化之路
4.1 当前AI支付面临的风险全景
在讨论商业化路径前,必须正视当前AI支付面临的系统性风险:
l身份认证体系面临失效风险。 传统KYC/KYB面向自然人和企业法人,智能体出现后亟需转向“了解你的智能体”(KYA),但代理身份的注册标准、授权验证和行为基线检测机制几乎为零。身份伪造、Agent漂移、API key泄露、授权意图偏差等问题直接动摇支付安全根基。
l新型攻击向量使传统防线面临全面突破。深度伪造绕过生物识别、恶意代理利用AI模拟用户行为绕过风控、提示词注入与模型投毒——传统风控模型基于人类行为模式构建,当交易主体从人变为Agent,行为基线需从零重新定义。
l数据与隐私存在系统性隐患。 智能体为完成任务需访问账户余额、交易记录等敏感信息,但访问边界难以控制。隐蔽数据收集链条一旦形成,将引发系统性隐私危机。
l责任与纠纷处于法律真空。智能体无民事人格——这是全行业最底层的法律空白。支付服务商、商户、代理开发者与用户之间的责任划分无法律依据,定责证据缺乏标准化存证格式。
l技术标准碎片化。 Google的AP2、Stripe的SPT、Mastercard的Agent Pay、Coinbase的x402互不兼容,与原有支付体系的工程化衔接尚无成熟方案。
4.2 产业共识:三阶段演进路径
产业界与学界对AI支付发展路径已形成初步共识,三阶段演进最具代表性:
第一阶段:辅助支付。 智能体需用户授权,交易决策仍由人类主导。“该不该付”的确认按钮在人类手中,支付AI只执行支付动作。
第二阶段:预设条件支付。 用户预设规则与围栏,智能体在边界内自主决策支付,无需人类实时在场。
第三阶段:泛化条件支付。 智能体具备更广泛的自主性,交易从“人与人”演变为“人与智能体”乃至“智能体与智能体”的交互。人类退居为规则制定者和终极主权持有者。
三阶段的核心脉络:执行权限从严格围栏逐步放松,身份信任从以“人”为中心转向以“智能体”为中心,交互方式从手工操作向意图直达演进。当前产业整体处于从第一阶段的初步推广期,需要进行大规模“实战验证”,充分暴露风险后才能成熟规模化。
4.3 核心判断:封闭ToB场景优先
一个清醒的判断:在公开的ToC环境内进行AI支付的大规模商业化,风险极高且需求并不迫切。
C端存量支付市场已基本满足用户需求。AI助手代订机票、代购咖啡等场景虽然体验新奇,但身份伪造、授权偏差和责任悬置三重风险叠加于公开网络时,任何一次安全事件都足以摧毁市场信心。
AI支付的商业化落地,应优先在基本满足三阶模型能力的较封闭ToB场景开展。这不是理论推演,而是产业已开始实践验证的路径。
国际先行案例已经出现:
-
Mastercard Agent Pay已与Microsoft、IBM合作开发企业级用例——小型纺织企业通过AI代理处理采购寻源、与全球供应商协商付款条件并执行跨境交易。
-
Stripe的MPP协议将机器间高频微支付落地于货运物流、工业设备按调用付费等B2B场景。
-
Coupa和GEP推出的采购AI代理已在多家大型企业实现供应商筛选、合同管理、发票校验等环节的自主决策,采购寻源周期缩短50%以上。
这不是空谈,已经在发生。
4.4 为什么必须从较封闭场景开始
请注意一个基本事实:三阶模型的12层传导链,每一层在工程落地上都有大量未完成的工作。创设权的身份标识标准、治理权的规则表达格式、处置权的级联撤销机制、数据权的审计与申诉通道,主权治理层的行业共识远未形成。验证决策层的KYA注册标准、指令解析兼容性、策略算法透明度、Agent行为基线,几乎每一项都需从零建设。执行追溯层的跨范式结算互通、链上证据司法转化路径、代理人责任的法律认定,更是系统性空白。三阶模型在工程上不是待部署的成熟方案,而是待施工的系统蓝图。
与此同时,4.1节所述的身份伪造、提示词注入、隐蔽数据收集等新型风险正在持续暴露。指向同一个判断:大规模商业化不可能快。
行业需要一个“过渡环境”——场景明确、风险可控、法律合规闭环。ToB封闭场景正是这样的试验场:12层问题可被逐一验证,风险暴露代价可控,标准在运行中收敛。它不是终极目标,而是从“框架设计”走向“工程落地”的必经阶段。
4.5 演化路径:从闭环到开放
当三阶模型在ToB封闭场景中完成充分验证——主权治理层的治理权、处置权、数据权形成可复用的行业标准,验证决策层的策略决策与风险识别收敛为成熟方案,执行追溯层的纠纷举证与责任追溯获得制度性支撑——届时,AI支付向半开放乃至开放ToC场景的溢出才具备可信的基础。
这是AI支付从“能力验证”走向“规模化信任”的唯一可行路径。先建立根据地,再考虑向C端溢出。
五、结语
西美尔在《货币哲学》中指出,货币的本质是人与人社会关系的抽象纽带。
AI支付并非对这一纽带的断裂,而是其数字化延伸。在人类定序立法、机器自主流转的新秩序中,支付的终极意义始终未变:它是人类价值关系的流转载体。
只是这一次,载体有了思考能力。
但主权永远属于人类。