Tiger Research: Đặc vụ AI cũng cần kiểm tra CMND

Báo cáo này được cung cấp bởi Tiger Research Viết bởi. Các đại lý AI đã có thể tự ký hợp đồng, tự thanh toán và thực hiện giao dịch. Nhưng có một vấn đề chưa được giải quyết: Làm sao bạn biết được người đại diện bên kia là ai? Bài viết này phân loại các phong cách chơi khác nhau của bốn người chơi trong cuộc chiến giành tiêu chuẩn KYA và nơi mà sự giám sát đã đi đến.

Điểm cốt lõi

1. Các tác nhân AI đã bước vào kỷ nguyên thực hiện hợp đồng, thanh toán và giao dịch tự động nhưng chưa có tiêu chuẩn thống nhất trên thị trường để xác minh danh tính. Trong kịch bản A2A (đại lý đến đại lý), KYA bắt đầu thu hút nhiều sự chú ý hơn KYC.
2. KYA không bắt buộc ở mọi nơi. Trong các nền tảng tập trung như Google, OpenAI và Coinbase, KYC hiện có là đủ. Điều thực sự yêu cầu KYA là khi các đại lý được triển khai độc lập truy cập DEX, thanh toán A2A và thanh toán cho người bán.
3. Cuộc chiến tiêu chuẩn đã bắt đầu. ERC-8004, Visa TAP, Trulioo và Sumsub lần lượt bắt đầu từ bốn hướng: trên chuỗi, mạng thanh toán, chứng nhận tuân thủ và phát hiện rủi ro và các đường dẫn hoàn toàn khác nhau.
4. Giám sát đã được chuyển. Đạo luật AI của EU, NIST của Hoa Kỳ và khuôn khổ quốc gia của Singapore đều ưu tiên quản lý danh tính thông minh. Các quy tắc du lịch của FATF 2019 xác định sàn giao dịch tiền điện tử nào tồn tại và KYA có thể sẽ lặp lại kịch bản lần này.

1. Tại sao bây giờ

KYC đã định hình lại lớp tài chính đó

Trước năm 1989, không có tiêu chuẩn nhận dạng thống nhất nào trong tài chính toàn cầu. Khoảng cách này gây khó khăn cho việc truy tìm nguồn gốc ma túy và tiền đen. Mãi cho đến khi thành lập FATF vào năm đó, KYC mới trở thành một yêu cầu bắt buộc trong ngành tài chính, ngăn chặn các khoản tiền bất hợp pháp.

Trong ba mươi năm tới, ảnh hưởng của KYC đã mở rộng lớp theo lớp. Sau ngày 11/9 năm 2001, các điều khoản tài trợ chống khủng bố đã được bổ sung và Đạo luật Yêu nước của Hoa Kỳ đã nâng KYC lên thành nghĩa vụ pháp lý. Trong những năm 2010, EU AMLD, Basel III và FATCA lần lượt được triển khai và thông tin KYC xuyên biên giới bắt đầu được trao đổi tự động. Quy tắc du lịch FATF 2019 mở rộng KYC cho các nhà cung cấp dịch vụ tài sản ảo.

Mọi phần mở rộng đều lấp đầy khoảng trống.

Nếu không có danh tính tác nhân, hệ thống sẽ quay ngược

Quay lại hiện tại. Các tác nhân AI có thể tự mình ký hợp đồng, thanh toán và thực hiện giao dịch mà không cần con người giám sát. Nhưng không ai có thể xác minh đó là ai.

Trong môi trường A2A, trách nhiệm là không rõ ràng. Không ai có thể biết phải gọi ai nếu có sự cố xảy ra. Người dùng cũng có xu hướng rửa tiền và nhiều hình thức lừa đảo khác nhau.

Đặt nguồn tài chính trước năm 1989 và thị trường đại lý thông minh vào năm 2026 cùng nhau, các cấu trúc giống nhau một cách đáng ngạc nhiên. Trước đó, các tài khoản ẩn danh được sử dụng cho các luồng xuyên biên giới, nhưng ngày nay, các đại lý chưa được xác minh có liên quan đến các giao dịch A2A. Trước đó, trách nhiệm xác minh nằm trong tay mỗi ngân hàng, nhưng ngày nay nó nằm trong tay mỗi nền tảng. Không có tiêu chuẩn chung.

Sự giống nhau này không phải là ngẫu nhiên mà là một quy luật. Công nghệ ra đời trước nhưng lớp nhận dạng lại không theo kịp.

KYA là gì

KYA (Biết đại lý của bạn) là một lớp cơ chế tin cậy xác minh trước rõ ràng nguồn, quyền hạn và trách nhiệm của đại lý.

Bỏ qua bước này, ba rủi ro sẽ xuất hiện cùng một lúc thời gian. Đầu tiên là giao dịch vượt quá thẩm quyền: người dùng chỉ ủy quyền thanh toán nhưng đại lý lại di chuyển tài sản và ký hợp đồng ngoài phạm vi. Thứ hai là giả mạo danh tính: một tác nhân độc hại giả vờ là hợp pháp, chiếm đoạt các khoản thanh toán, giả mạo phản hồi và đánh cắp danh tiếng. Loại thứ ba là khoảng trống trách nhiệm: sau khi xảy ra tai nạn, đại lý, nhà phát triển và khách hàng sẽ đổ lỗi cho nhau và không có cách nào đòi bồi thường.

Việc KYA làm là khóa trước ba thứ này. Đăng ký trước và xác minh phạm vi thẩm quyền, mọi hành động trái phép sẽ bị chặn trực tiếp. Xác minh danh tính và nguồn gốc và chỉ cho phép các đại lý hợp pháp. Nguồn và khách hàng của mỗi đại lý được ràng buộc trong hồ sơ và các sự cố có thể được truy tìm lại.

2. Nơi KYA sẽ hoạt động

Không bắt buộc ở mọi nơi

KYA không thực sự cần thiết trong nền tảng tập trung. Người dùng đã thực hiện KYC và bản thân nền tảng cũng biết mọi thứ và toàn bộ liên kết là vòng kín.

Điều cần KYA là môi trường mở sau khi bước ra khỏi thế giới nền tảng. Đại lý cần kết nối với DEX, thực hiện thanh toán A2A và thanh toán cho người bán. Lúc này, không ai biết chân tướng, cũng không ai có thể bảo đảm.

Ví dụ. Để di chuyển trong một quốc gia, chỉ cần có thẻ ID (KYC) là đủ. Sau khi bạn qua biên giới (rời khỏi sân ga), môi trường sẽ thay đổi và bạn phải trải qua cuộc kiểm tra (KYA) tại điểm nhập cư để giải thích rõ ràng ý định và độ tin cậy của mình.

Quy trình bốn bước

Hoạt động của KYA có thể được chia thành bốn bước. Hai bước đầu tiên là "cấp hộ chiếu": đầu tiên đăng ký danh tính và quyền của đại lý, sau đó cấp hộ chiếu kỹ thuật số sau khi vượt qua quá trình xác minh. Hai bước cuối cùng là "xem xét mục nhập": xác nhận danh tính của bên kia khi giao dịch xảy ra, sau đó cập nhật bản ghi dựa trên kết quả giao dịch.

Danh tính không được cấp một lần và có giá trị vĩnh viễn nhưng được kiểm tra lại cho mỗi giao dịch.

3. Bốn người chơi đang cạnh tranh về tiêu chuẩn

Hiện có bốn người chơi đang tranh giành tiêu chuẩn và đường đi của chúng hoàn toàn khác nhau.

ERC-8004: Tạo danh tính thành NFT

ERC-8004 thực hiện theo lộ trình hoàn toàn trên chuỗi. Nó thêm một lớp nhận dạng lên trên ERC-721 và mỗi tác nhân được tạo một NFT làm ID duy nhất.

Nó đi kèm với ba đăng ký trên chuỗi. Identity chịu trách nhiệm về "đại lý này là ai", dựa trên AgentID duy nhất của ERC-721. Danh tiếng chịu trách nhiệm cho việc "bạn có thể giao dịch với nó hay không". Sau khi giao dịch hoàn tất, nó sẽ để lại điểm số, nhãn và bằng chứng trên chuỗi. Quá trình xác thực chịu trách nhiệm về "liệu nó có thực sự làm điều đó hay không" và được kiểm tra bởi người xác minh bên thứ ba thông qua các trình cắm như zkML và TEE.

Cấu trúc này không phải là lần đầu tiên trong lịch sử của Ethereum. ERC-20 tiêu chuẩn hóa việc phát hành mã thông báo và USDT, USDC, UNI và AAVE đều phát triển dựa trên đó. ERC-721 tiêu chuẩn hóa việc phát hành NFT và CryptoPunks, BAYC và ENS hỗ trợ toàn bộ thị trường NFT. ERC-8004 đóng vai trò là tiêu chuẩn thứ ba ở vị trí tương tự.

Visa TAP: Được tích hợp với mạng thanh toán

Visa có một ý tưởng hoàn toàn khác. Nó cấp chứng chỉ nhận dạng (Agent Intent) cho đại lý, tương đương với một thẻ. Nếu không có khóa này, đại lý thậm chí không thể bắt đầu giao dịch. Chìa khóa chỉ được cấp sau khi được Visa phê duyệt trước và mỗi giao dịch phải được ký cho người bán.

Người bán không chỉ nhận được một mà là ba chữ ký. Ý định tác nhân chứng minh rằng tác nhân là hợp pháp và được xác nhận bằng khóa được VIC phê duyệt. Nhận dạng người tiêu dùng giải thích họ đang làm việc cho ai và chuyển mã định danh người dùng cho người bán. Thông tin thanh toán cung cấp sự đảm bảo thanh toán, sử dụng mã thông báo thanh toán hoặc thông tin thẻ băm để hoàn tất xác thực.

Visa đã đưa bộ thứ này vào một gói lớn hơn có tên Visa Intelligence Thương mại (VIC). Ngoài TAP, còn có Agent API (công nghệ riêng của Visa chạy khi sử dụng thẻ), Tokenization (token được phát hành riêng cho AI) và Kết nối thương mại thông minh (tương thích với các giao thức cạnh tranh như AP2, ACP, x402, v.v.).

Logic rất rõ ràng. Visa đã nắm giữ quyền truy cập vào mạng thanh toán vào thời điểm đó và hiện muốn đưa kỷ nguyên thông minh vào quỹ đạo của riêng mình. Nếu thanh toán thông minh tiếp tục sử dụng mạng thẻ và gói này trở thành tùy chọn mặc định, thị phần của Visa sẽ ổn định.

Trulioo: Di chuyển bộ SSL qua

Trulioo là một công ty tham gia theo dõi tuân thủ KYC và KYB toàn cầu và hiện mở rộng ngăn xếp xác minh sang KYA.

Nó dựa trên mô hình chứng chỉ SSL của trang web. SSL là chứng chỉ TLS do CA (Cơ quan cấp chứng chỉ) cấp cho trang web và chỉ tên miền được xác minh. DPA (Cơ quan cấp hộ chiếu kỹ thuật số) do Trulioo đề xuất sẽ cấp DAP (Hộ chiếu đại lý kỹ thuật số) cho đại lý và xác minh KYB của nhà phát triển cùng với KYC của người dùng.

DAP không phải là chứng chỉ tĩnh. Đó là mã thông báo trực tiếp được làm mới và được xác nhận lại sau mỗi giao dịch. Sau khi ủy quyền được rút lại hoặc phát hiện thấy sự bất thường, DAP sẽ bị vô hiệu ngay lập tức.

Nó có năm điểm kiểm tra: Provenance (mà nhà phát triển đã làm nó), Ràng buộc người dùng (người đã ủy quyền), Phạm vi quyền (công việc có thể được thực hiện), Đo lường từ xa hành vi (những gì đang được thực hiện) và Chấm điểm rủi ro (xếp hạng rủi ro).

Các ngân hàng và fintech được yêu cầu về mặt pháp lý để xác minh danh tính của mọi người và các công ty. Một khi đại lý thông minh bước vào lĩnh vực tài chính, vị thế KYC và KYB của Trulioo sẽ trở nên ổn định hơn.

Sumsub: Theo dõi các trường hợp ngoại lệ và không cấp chứng chỉ

Điểm vào của Sumsub khác với ba điểm đầu tiên. Nó không ban hành các tiêu chuẩn hoặc chứng chỉ mà xác minh lại người đứng đằng sau nó khi một giao dịch bất thường xảy ra trong tác nhân thông minh.

Nó đã tham gia vào hoạt động kinh doanh tuân thủ từ năm 2015 và hệ thống xác minh hiện được sử dụng để phát hiện hành vi bất thường của các tác nhân thông minh. Quá trình này được chia thành ba bước. Đầu tiên, thực hiện phát hiện tự động để phân biệt con người và máy móc thông qua các đặc điểm của thiết bị và tác nhân. Sau đó, tính điểm rủi ro và đưa ra điểm rủi ro dựa trên bối cảnh, số lượng và dữ liệu lịch sử. Cuối cùng, có xác minh Liveness, chỉ được kích hoạt khi có rủi ro cao, số lượng lớn hoặc thay đổi quan trọng để kiểm tra lại người thật đã đăng ký.

Bốn đặc điểm của Sumsub hoàn toàn trái ngược với những người chơi khác. Điểm khởi đầu của nó là toán tử tuân thủ chứ không phải là bộ thiết lập tiêu chuẩn. Thời điểm xác minh là thời điểm xảy ra giao dịch rủi ro chứ không phải thời điểm đăng ký trước. Phương thức xác minh là xác nhận lại người thật chứ không phải dữ liệu hoặc mã thông báo. Triết lý là ràng buộc người đại diện với bên chịu trách nhiệm, thay vì trực tiếp chặn người đại diện.

Những người chơi khác thực hiện xác minh danh tính một lần trước khi làm bất cứ điều gì và Sumsub thực hiện xác minh theo thời gian thực sau khi cấp chứng chỉ. Quyền hạn của đặc vụ càng mở rộng thì việc phát hiện sự bất thường càng trở nên quan trọng. Khi công nghệ nâng cấp các phương thức gian lận, hệ thống thời gian thực của Sumsub đáng được chú ý.

4. Trước khi quy định được triển khai

Tập lệnh cho Quy tắc du lịch FATF

Ngay sau khi các quy tắc du lịch của FATF 2019 được đưa ra, ngành VASP ngay lập tức chia rẽ. Những nơi có thể chịu được chi phí về cơ sở hạ tầng KYC và AML sẽ tồn tại, trong khi những nơi không chịu được chi phí sẽ đóng cửa hoặc chuyển đến những nơi có quy định lỏng lẻo. CryptoBridge và Deribit đều buộc phải điều chỉnh trong đợt đó.

Giám sát không phải là kết thúc mà là một bước ngoặt.

Kịch bản của KYA lần này có thể giống nhau. Liên minh châu Âu, Singapore và Hoa Kỳ đang cạnh tranh vị trí dẫn đầu.

Điều 12 của Đạo luật AI của EU yêu cầu rõ ràng rằng hành vi đó nhật ký của hệ thống AI có rủi ro cao phải bao gồm danh tính của người vận hành. Singapore đã ban hành khuôn khổ quản trị AI cấp quốc gia đầu tiên trên thế giới dành cho các tác nhân thông minh, mở rộng quản lý danh tính cho các tác nhân và yêu cầu mỗi tác nhân phải có một bên chịu trách nhiệm. NIST ở Hoa Kỳ liệt kê quản lý danh tính thông minh là lĩnh vực tiêu chuẩn ưu tiên.

Cửa sổ thời gian đang thu hẹp lại.

Sẽ không có người chiến thắng duy nhất

Biến số thực sự trong cuộc chiến về tiêu chuẩn không phải là công nghệ mà là sự kết hợp. Những người chơi chính đã bước vào giai đoạn hợp tác và kết hợp. Ai được ghép nối với người bán, mạng thanh toán và nhóm khách hàng KYC nào tiếp theo sẽ xác định quyền sở hữu của từng phân khúc thị trường.

Sẽ không có người chiến thắng duy nhất trên thị trường này.

Xét về các giao dịch tự trị trên chuỗi, Ethereum có khả năng dẫn đầu. Trong các tình huống giao dịch có ràng buộc về thanh toán, Visa có những lợi thế rõ ràng. Trong ngành tài chính được quản lý, việc tích lũy KYC và KYB của Trulioo rất khó thay thế. Đối với các tình huống giao dịch có rủi ro gian lận, tính năng phát hiện theo thời gian thực của Sumsub phù hợp hơn.

Bốn họ không phải là đối thủ trực tiếp, mỗi họ chiếm một phần của núi. Cuộc cạnh tranh thực sự diễn ra trong đó cảnh được phân loại vào ngọn đồi nào.

KYC đã diễn ra từ năm 1989 đến ngày nay và nó đã mất ba mươi năm để hoàn thành lớp nhận dạng của tài chính toàn cầu.

KYA vòng này, tốc độ dường như nhanh hơn nhiều. Quy định đã bắt đầu, những người chơi tiêu chuẩn đã được triển khai và thời gian triển khai trên quy mô lớn có thể là vài năm tới.

Những người sống sót đến lúc đó không nhất thiết phải là những người mạnh nhất công nghệ, mà là những người có quyền truy cập sớm nhất vào cơ sở hạ tầng nhận dạng.