夜雨聆风AWS 上线预览功能 AgentCore payments,让 AI 代理在执行任务时自动完成微交易,按需购买 API、MCP 服务器和付费内容。Coinbase 和 Stripe 提供钱包基础设施,x402 协议负责 HTTP 原生支付,超过 10,000 个按次付费接口已经接入。代理从"调用工具"进化到"采购资源"——但如果代理被诱导花钱买了假数据,谁来兜底?
AI 代理有钱了?
5 月 7 日,开发者 Min Choi 在 X 上发了一条帖子:
"what... AWS just gave AI agents wallets. They can now pay for APIs, data, MCP servers, and other agents mid-task. This is how agents become companies."
「AWS 给 AI 代理装上了钱包。它们现在能在任务中途为 API、数据、MCP 服务器和其他代理付费。这就是代理变成公司的方式。」
▲ Min Choi 的推文发布后,开发者围绕代理支付的安全与风控展开讨论
「代理变成公司」——这个说法当然是比喻。AI 代理没有法人资格,也不承担法律责任。但背后指向的产品能力却相当实在:代理开始具备在任务执行中按需采购资源的经济行为能力。
AWS 到底发布了什么
打开 AWS 官方文档,标题写得清清楚楚:
"Amazon Bedrock AgentCore payments is a fully managed service that enables microtransaction payments in AI agents to access paid APIs, MCP servers, and content."
「Amazon Bedrock AgentCore payments 是一个全托管服务,让 AI 代理通过微交易访问付费 API、MCP 服务器和内容。」
▲ AWS 官方文档页面,AgentCore payments 定义为全托管微交易支付服务,当前处于预览阶段
翻译成大白话:你的 AI 代理在执行任务的过程中,如果碰到一个付费 API 或一段付费内容,它可以自己掏钱买。
不需要你提前订阅所有可能用到的服务,不需要人工中断审批,代理按需、按次、自动完成支付。
AWS 也说明了做这件事的动机:随着代理越来越多地调用 API、访问 MCP 服务器、与其他代理交互,按次付费模式会越来越普遍。但传统信用卡支付有最低手续费,几美分甚至更低的微交易根本不经济。开发者如果自己做支付编排,要对接多家服务商、处理异常、做审计——复杂度太高。
所以 AWS 把这一层直接做成了平台能力。
x402:给机器用的 HTTP 原生支付协议
AgentCore payments 的支付轨道建立在x402 协议和稳定币(stablecoin)之上。
x402 复活了 HTTP 协议里一个长期存在但几乎没人用过的状态码——402 Payment Required。机制非常简洁:
"If a request arrives without payment, the server responds with HTTP 402, prompting the client to pay and retry."
「如果请求没有附带支付信息,服务器返回 HTTP 402,提示客户端付款后重试。」
▲ x402.org 官方站,采集时页面显示近 30 天 7541 万笔交易、2424 万美元交易额
这套机制天然适合 AI 代理的工作流程:代理发起请求 → 服务返回"需要付费" → 代理自动付款 → 重新发起请求 → 获取数据继续任务。整个过程无需人类介入。
Coinbase 的开发者文档进一步解释了 x402 的定位:
"x402 ... enables instant, automatic stablecoin payments directly over HTTP."
「x402 让即时、自动的稳定币支付直接发生在 HTTP 之上。」
▲ Coinbase 开发者文档,x402 让 AI 代理无需账户、无需会话就能完成自动支付
AWS 官方确认了两个钱包提供商:Coinbase CDP和Stripe(Privy),用于嵌入式稳定币钱包操作。同时,AgentCore 已经接入了一个现成的Coinbase x402 Bazaar MCP 服务器,通过 AgentCore Gateway 暴露了超过 10,000 个按次付费的 x402 端点。
万级付费接口已经上架,代理接上 AgentCore Gateway 就能开始"逛商店"。
钱包背后:限额、授权和审计
给代理一个钱包,开发者第一反应大概都一样——那它会不会乱花钱?
AWS 显然预料到了这个问题。官方文档里,与支付能力并列的关键特性包括:
- PaymentSession 预算上限
:每个支付会话有 maxSpendAmount、货币类型和过期时间,预算用完或会话过期后,后续支付请求直接被拒绝 - 可配置的 guardrails
:开发者设定代理的花钱边界 - AgentCore Identity
:API key 和钱包密钥等敏感凭据统一由 Identity 服务管理,代理拿不到原始私钥 - CloudWatch / X-Ray 可观测性
:每一笔支付的生命周期都有日志和追踪,交易成功率、花费模式、错误诊断一目了然
▲ AWS 文档列出的关键特性:预算限额、钱包集成、端点发现和全链路可观测
开发者 @cdiamond 的评论抓住了核心:钱包算不上里程碑,限额才是。
"The moment an agent can be wrong with money is the moment auditing becomes the actual product."
「代理可能花错钱的那一刻,审计就变成了真正的产品。」
换句话说,AWS 卖的不只是"代理能花钱",更关键的是"代理花钱时能被限制、能被追踪、能被叫停"。
新型安全威胁:"金融 Prompt Injection"
社区担忧的远不止"花多了"。
有开发者提出了一个新概念:Financial Prompt Injection——攻击者通过恶意提示诱导代理去购买一个假的 MCP 服务器,或者为虚假数据付费。钱已经花出去了,沙箱隔离也无法挽回真金白银的损失。
传统的 prompt injection 最坏的后果是泄露数据或调用错误工具。加上支付能力之后,每一次被诱导的工具调用都可能变成一笔真实支出。
还有开发者追问责任归属:Coinbase 负责支付轨道,Stripe 托管钱包,AWS 提供平台——出了坏账到底找谁?退款机制、KYC 合规、商户责任,这些传统金融领域早已成熟的环节,在代理支付的链条里还几乎是空白。
API 调用超时的场景也值得关注:如果支付已经发出但 API 响应超时,整个任务可能卡在确认流程上。自动支付同样需要失败恢复策略和关键节点的人类确认机制。
从"调工具"到"买工具"
退一步看这件事的意义。
过去,AI 代理能做什么取决于开发者提前配置好的工具集:搜索引擎、代码解释器、数据库、CRM。代理只能在已有权限范围内操作。
AgentCore payments 改变了这个前提——代理开始具备按需采购的能力。一个研究代理可能临时购买一段付费内容;一个数据分析代理可能按需买某个 API 的单次查询;一个自动化代理可能发现某个 x402 端点刚好能解决当前任务,直接通过 Gateway 付费调用。
代理的能力边界,从"开发者预先配置了什么"扩展到"预算范围内市场上有什么"。
当然,这一切目前还在 preview 阶段。AWS 官方明确写着:
"AgentCore payments is currently available as a preview. Features and APIs may change before general availability."
「AgentCore payments 当前为预览版,GA 前功能和 API 可能变化。」
功能还没定型,API 还在变。但方向已经摆在那里了——AI 代理正在从"执行指令的工具"向"能自主采购资源的经济节点"演进。
当代理开始花钱,审计、限额、授权、责任归属——这些过去只属于人类采购部门的概念,正在变成 AI 基础设施的核心组件。
— END —
