当AI开始自主刷卡：Agent支付能力已就绪，但谁来负责出了问题的那笔钱

【系统时间注入】当前北京时间：2026-05-18 05:55 CST

7天之内，AI越过了一条线

2026年5月的第二周，两件事在7天之内相继发生，推动AI Agent越过了企业IT历史上的一条重要边界。

5月7日，亚马逊云服务（AWS）宣布预览Amazon Bedrock AgentCore Payments——这是与Coinbase和Stripe合作构建的托管能力，让AI Agent可以自主为API调用、MCP服务器、网络内容、以及其他Agent的服务付费，每次会话的支出上限由开发者设定。

5月14日，一份泄露的Google Gemini Spark测试版引导页面被解密，其中有一行字：「Gemini Spark可能会在未经询问的情况下分享您的信息或进行购买。」按照APK分析人员的解读，Gemini Spark将成为谷歌I/O大会（5月19日）的核心产品。

同一个7天窗口，AI Agent从「帮你推荐应该买什么」进化成了「直接帮你完成购买」。这是个技术能力的质变节点，也是一个治理框架突然被技术超越的时刻。

基础设施已经就绪。治理框架还没有。

AWS实际发布了什么

理解这件事的技术本质，需要先看清AWS到底发布了什么。

AgentCore Payments的核心是一个名为x402协议的开放标准。x402利用了HTTP协议中长期闲置的一个状态码：402 Payment Required（支付必须）。这个状态码在HTTP标准制定之初就存在，但几乎从未被广泛使用——因为当时没有机器对机器的微支付需求。

x402把这个被遗忘的状态码变成了机器对机器支付的通道。当AI Agent访问一个需要付费的端点时，服务器返回402状态码，Agent收到后通过AgentCore处理钱包认证、完成稳定币结算（在以太坊Layer2网络Base上）、并向端点返回支付证明——整个过程不打断Agent的推理和执行循环。

开发者需要做的是：连接一个Coinbase CDP钱包或Stripe Privy钱包、为它充入资金（支持稳定币或借记卡）、设定每次会话的支出上限。之后，Agent在执行任务时遇到付费资源，可以自主决定是否支付并完成交易。

AWS已经在4个区域开放预览：美国东部（弗吉尼亚北部）、美国西部（俄勒冈）、欧洲（法兰克福）、以及亚太（悉尼）。Coinbase的x402 Bazaar MCP服务器通过AgentCore Gateway提供超过10,000个可付费端点，Agent可以自主搜索、发现并支付这些服务。

已经在测试的企业包括：华纳兄弟探索（Warner Bros. Discovery），用于测试Premium内容访问（包括体育直播）；Heurist AI，正在构建一个为终端用户提供金融分析的研究型Agent。AWS还明确表示，未来将扩展到酒店预订、旅行预订、以及商户支付等更广泛的商业交易场景。

Google Spark的另一种方式

Google的Gemini Spark走了一条稍有不同的路。

根据从Google应用测试版本17.23的APK中解密的信息，Gemini Spark会在后台运行，利用「您的已连接应用、技能、对话记录、您登录的网站、Personal Intelligence、位置以及更多信息」来执行任务。

具体功能包括：整理收件箱（总结或归档新闻简报、帮助退订邮件列表）、安排会议简报（在重要会议前获取简洁概述和相关信息）、创建个性化新闻摘要、以及执行在线任务（包括购买）。

最关键的那行文字是：「虽然Gemini Spark被设计为在执行敏感操作前征求您的许可，但它可能会在未经询问的情况下分享您的信息或进行购买。请务必监督Gemini Spark，不要依赖它获取医疗、法律、财务或其他专业建议。」

Google把这个定位为「实验性功能」。

Forbes的企业技术分析师Janakiram MSV在分析这两个发布时，做了一个重要的竞争格局对比：Anthropic的Claude Cowork处于另一个极端——在策略层面上阻断了自主购买功能。四大前沿AI厂商中，三家现在都在发布可以移动资金的Agent，第四家（Anthropic）把这个边界定位为一个产品特性。

治理框架还没准备好：企业董事会尚未提出的问题

Forbes的分析点出了当前最核心的问题：企业现有的治理、审计、保险框架，都是为「人类授权每笔交易」的世界设计的。当买方是AI的时候，这些框架存在系统性空白。

法律责任框架：当AI Agent完成了一笔用户没有明确授权的购买，谁来负责？这个问题在2026年1月1日之前可能还是模糊的，因为企业律师可以辩称「是AI自主决定的，不是人类批准的」。但加州于2026年1月1日生效的AB 316法律明确规定：被告不得以AI系统的自主操作来为责任索赔进行辩护。「AI做的」这个理由在加州已经被法律堵死。科罗拉多州的AI法案（2026年6月生效）则要求高风险AI系统的部署方每年进行影响评估。

审计框架的空白：SOC 2这套企业合规审计框架根本不是为无需人类请求就能行动的主体设计的。该框架预期敏感操作可以追溯到一个承担责任的具体个人。当AI Agent基于一个工具调用的结果、一个提示词注入（prompt injection）、或者一个被污染的网页发起支付时，它不会产生SOC 2框架需要的审计追踪记录。这是一个系统性的审计空白，不是可以打补丁解决的小问题。

网络保险的新要求：保险公司已经开始注意到这个问题。他们正在在续保申请中加入AI补充条款，要求企业提供AI治理证据——但大多数企业的SOC 2报告根本不包含这类信息。这意味着企业在AI Agent能力上线的同时，可能面临保险缺口。

采购控制的失效：现有的企业采购授权体系设计了层级审批——某个级别的员工有多少授权额度，超过就需要更高层级审批。AI Agent的每次会话支出上限是开发者设定的，而不是企业采购部门的控制。这两套授权体系之间的空白，会产生什么风险？没有人有明确答案。

已知的失效模式：技术层面的具体风险

AgentCore Payments的主要安全控制是每次会话的支出上限。AWS把这个设定宣传为核心保护机制。但Janakiram MSV指出，这个保护机制与2008年的信用卡欺诈限额有类似的形状——每笔交易的限额是真实有效的，但它限制了单次事件的规模，并不能限制总体的攻击向量。

一个具体的失效场景是：AI Agent在执行任务时遇到了一个被攻击者控制的付费端点，读取了一个包含恶意指令的信息，指令要求它「通过200次低于1美分的调用来验证钱包」，每次调用都在会话支出上限之内，但总体上可以清空钱包。

这是提示词注入（prompt injection）攻击的金融化版本。

Anthropic在其内部Claude Cowork测试中，报告的提示词注入成功率约为1%。这是目前前沿AI厂商中最好的公开数据。但Janakiram MSV的分析是：1%的残余成功率，在Agent具备钱包访问权限之后，以机器速度运作。这是一个质变，不是量变。

2026年上半年之前，AI安全的主要失效模式是数据外泄（data exfiltration）——Agent被诱导泄露敏感信息。2026年5月之后，需要认真对待的失效模式是资金移动（funds movement）。这不是理论风险，这是可以被攻击者程序化利用的实际向量。

企业在下次审计之前应该做什么

Janakiram MSV在Forbes文章中提出了企业应该立即着手的第一步：像映射人类身份和服务账户一样，映射Agent身份。

非人类身份（non-human identities）的数量预计到2026年底将超过450亿个。AI Agent是这个数字中增长最快的一类。没有清晰的Agent身份注册和权限映射，企业根本无从管理Agent的支付行为。

在此基础上，Janakiram MSV建议企业开始解答以下问题：

一、谁批准了这个Agent的支付能力？批准了什么级别的支出上限？二、如果Agent产生了一笔企业政策之外的支出，现有的异常处理流程是什么？三、Agent的每笔交易是否可以被完整审计和追溯？四、现有的SOC 2或ISO 27001认证是否涵盖了Agent驱动的财务操作？如果不涵盖，怎么补充？五、当前的网络保险条款是否明确覆盖了Agent自主交易导致的损失？

这些问题没有标准答案，因为整个行业都还在摸索。但那些在问这些问题的企业，比还没有开始问的企业，准备状态要好得多。

Anthropic的另一条路：设计选择还是竞争选择

在其他三家主要厂商都推进Agent支付能力的背景下，Anthropic的Claude Cowork在策略层面阻断自主购买这一姿态显得格外突出。

这是一个设计选择，还是一个市场定位选择？

一种解读是：Anthropic基于其「负责任AI」的品牌定位，主动选择了在Agent自主权问题上保持相对保守的边界，把「不允许自主购买」作为一个向企业客户展示的安全特性。

另一种解读是：Anthropic认为当前的企业采用环境还没有成熟到可以放开Agent自主购买的程度，先用保守边界建立信任，然后在治理框架成熟之后再开放。

无论哪种解读，这个对比都揭示了一个行业层面的战略分歧：AI公司对「Agent应该有多大自主权」这个问题，正在用产品策略做出不同的回答。而这些不同的回答，会影响企业客户的风险暴露，以及整个行业治理标准的形成路径。

这是一个前沿：技术与治理的时间差永久化

Agent支付能力的出现，让一个在AI行业反复出现的规律以更清晰的方式呈现：技术能力的跃升速度，系统性地快于治理框架的构建速度。

这不只是「技术跑在前面」的抽象问题。在Agent自主支付这个具体场景中，时间差意味着：企业已经可以部署可以自主花钱的AI，但企业用来管控这种花钱行为的系统（审计、保险、合规、采购控制）还没有升级。

这是一个可预测的失效窗口。

加州AB 316、科罗拉多AI法案、欧盟AI法案——监管机构已经开始在立法层面应对这个问题。但企业层面的治理更新，需要企业主动推动，不能等监管倒逼。

AWS AgentCore Payments的发布，加上Gemini Spark的开放，标志着「机器自主消费」从概念验证进入了生产级别的基础设施阶段。这个基础设施的治理，是2026年下半年企业AI战略中最紧迫但尚未被足够重视的议题之一。

问题不是Agent是否应该有支付能力——这个能力已经存在了，而且还在快速扩展。问题是：谁来为Agent的每一笔支出负责，以及怎么证明。

AgentCore Payments的发布，不只是一个技术产品更新，它标志着一个更大商业变革的开始：Agent经济（Agentic Economy）的基础设施正在从概念阶段走向实际运转阶段。

AWS在发布文章中描述了这个演化的方向：「展望未来，服务、工具和内容必须为人类和Agent同时设计。Agent将按需发现、评估和支付资源，全部在单次执行循环中完成。支持它们的服务必须以这种方式定价和消费：每次调用几分之一美分，实时计费。」

这段话描绘的是一个全新的经济形态：不是人类订阅服务然后使用，而是Agent自主按使用量实时付费。每次任务执行都是一次微型的经济交易，涉及多个服务提供商和多笔细小的支付。

在这个模型中，传统的订阅制SaaS商业模式会发生什么变化？当Agent可以按调用次数自主付费时，企业的AI采购决策会从「我们应该买哪家公司的年度订阅」变成「我们的Agent自动选择了性价比最高的服务，实时优化每次调用的成本」。这对SaaS厂商的定价策略和客户关系管理，都是一个根本性的挑战。

Warner Bros. Discovery测试的场景非常具体：当用户或Agent表达对某个体育赛事的兴趣时，Agent可以在那个兴趣时刻无缝发现、评估、并完成购买优质内容（比如体育直播），而不需要用户事先有一个订阅账户或者中断执行流程去手动完成支付。

这改变了内容消费的时间结构——从「先订阅后消费」变成「有需求时即时获取」。对于内容方来说，这可能会打开以前无法服务的用户群体（那些不愿意提前订阅但愿意为特定内容临时付费的用户）；对于消费者来说，这降低了摩擦但也可能增加了失控感。

这种商业模式的演化，使治理问题更加复杂。当企业无法预先知道Agent会访问哪些服务、会产生多少费用时，预先审批和采购控制的传统框架就彻底失效了。这不只是「一次Agent购买出了问题」的合规问题，而是整个采购决策权向AI系统转移的系统性挑战——而现有的治理体系完全没有为这个转移做好准备。

非人类身份管理：企业安全的下一个主战场

Agent支付能力的出现，把一个已经在企业安全领域悄悄积累的问题突然推到了聚光灯下：非人类身份（Non-Human Identity，NHI）的管理。

根据行业预测，非人类身份的数量到2026年底将超过450亿个。这包括服务账户、API密钥、机器人账户、以及AI Agent。在大多数企业中，这些非人类身份的管理远不如人类员工账户严格——没有固定的审查周期，没有清晰的权限归属，没有明确的生命周期管理。

在Agent还只是「读取数据和生成报告」的阶段，非人类身份管理的漏洞是信息安全风险。在Agent可以「自主完成交易和移动资金」之后，同样的漏洞升级成了财务安全风险。

一个典型的风险场景：企业在测试环境中部署了一个带有AgentCore Payments能力的Agent，给它配置了一个有一定资金的钱包。测试完成后，这个Agent账户没有被及时清理。一年后，某个具有足够访问权限的恶意行为者（内部或外部）重新激活了这个账户，并利用它的支付能力完成了一系列未经授权的交易。

这不是科幻场景，这是企业现有「僵尸账户」安全问题在Agent场景下的直接延伸。区别是：人类僵尸账户能做的最坏事情是获取数据；Agent僵尸账户能做的最坏事情是移动资金。

监管先行：法律框架的演化速度超出预期

有意思的是，这一次监管的应对速度比过去快了很多。

加州AB 316于2026年1月1日正式生效，明确规定AI系统的自主行为不能成为抗辩理由。这一条款对企业的实际影响在于：如果你的AI Agent完成了一笔有争议的交易，你不能说「AI自己决定的，不是人类批准的」。企业作为Agent的部署方，对Agent的行为承担连带责任。

科罗拉多州AI法案将于2026年6月生效，要求高风险AI系统的部署方每年进行影响评估。「高风险」的定义包括了对自然人有重大影响的系统——一个可以代表用户完成金融交易的Agent，可能很容易被纳入这个定义。

欧盟AI法案已经开始适用通用人工智能（GPAI）模型规则，更广泛的消费者透明度义务将于2026年8月2日生效。对于在欧洲市场运营的企业，这意味着他们需要在相当短的时间内，针对Agent支付功能建立符合EU AI Act要求的透明度和文档体系。

从监管角度看，这三个法律框架形成了一个相互补充的治理基础：加州负责厘清责任归属，科罗拉多负责要求定期评估，欧盟负责要求透明度。三者叠加，指向一个明确方向：企业需要为每个部署了支付能力的AI Agent建立独立的治理文件和监控机制，这不再是可选项，而是法律要求。

这里有一个结构性的时间差风险值得单独指出：AgentCore Payments于2026年5月进入预览阶段，而企业级的SOC 2或ISO 27001审计通常是年度周期（12-18个月一次）。这意味着，如果一家企业在2026年下半年把AgentCore Payments接入了生产系统，它的下一次合规审计很可能要到2027年甚至更晚——届时，Agent已经在生产环境里自主花了一年多的钱，但没有经过任何针对Agent支付行为的正式合规审查。这个「合规审计盲窗」不是可以被技术手段自动覆盖的，它需要企业主动缩短审计周期或者在日常运营中建立实时监控替代。

结语：这不只是技术问题，这是组织问题

Agent支付能力的到来，在本质上是一个组织治理问题，不只是技术问题。

技术上，AWS和Google已经把复杂的支付协议、钱包管理、交易追踪全部封装好了，开发者只需要配置一下参数就可以使用。技术门槛是低的。

组织上，这意味着企业的CAIO、CTO、CFO、法务、审计、保险采购团队，需要坐在一起，重新讨论「哪些财务操作可以由AI自主完成，授权边界在哪里，出了问题谁负责」。这些跨职能的讨论，往往比技术部署要慢得多。

技术的快速普及和组织决策的相对缓慢之间的时间差，正是当前治理缺口存在的根本原因。填补这个缺口，需要的不是等待监管机构制定更多规则，而是企业主动推动内部的多方协调。

那些现在就开始这个对话的企业，将在竞争对手还在反应的时候，已经建立起了可以安全使用Agent支付能力的治理基础。

非人类身份管理：企业安全的下一个主战场

Agent支付能力的出现，把一个已经在企业安全领域悄悄积累的问题突然推到了聚光灯下：非人类身份（Non-Human Identity，NHI）的管理。

监管先行：法律框架的演化速度超出预期

有意思的是，这一次监管的应对速度比过去快了很多。

结语：这不只是技术问题，这是组织问题

Agent支付能力的到来，在本质上是一个组织治理问题，不只是技术问题。

技术上，AWS和Google已经把复杂的支付协议、钱包管理、交易追踪全部封装好了，开发者只需要配置一下参数就可以使用。技术门槛是低的。

那些现在就开始这个对话的企业，将在竞争对手还在反应的时候，已经建立起了可以安全使用Agent支付能力的治理基础。

作为普通用户：当Agent开始替你消费，你需要知道什么

这个问题不只是企业IT部门需要考虑的。Gemini Spark的发布意味着，普通消费者在日常使用AI助手时，也可能面对「AI替我做了一笔购买」的情况。

几个实用建议：

检查AI助手的支付权限设置：在使用Gemini、ChatGPT等AI助手时，主动检查是否有「允许AI进行购买」类型的权限设置，理解默认状态是什么。Google明确标注了Gemini Spark是「实验性」功能，并建议用户「监督」Agent的行为。

关注异常消费通知：如果AI助手与支付账户连接，开启即时消费通知。任何意外的小额支付（哪怕几美分）都可能是攻击者利用提示词注入测试漏洞的信号。

了解争议申请流程：如果AI完成了一笔你不认可的购买，通过谁来争议？是AI公司、支付平台（Coinbase/Stripe），还是商户？目前这个流程在大多数情况下还不清晰，消费者应当提前确认自己使用的平台有明确的异议处理机制。

技术进步不会等待消费者保护框架完善。在这个时间差被填补之前，用户的自我保护意识是第一道防线。

参考资料

Forbes: “Agent Payments Arrive Before Audit And Insurance Catch Up” (2026-05-17) — https://www.forbes.com/sites/janakirammsv/2026/05/17/agent-payments-arrive-before-audit-and-insurance-catch-up/
AWS官方博客: “Agents that transact: Introducing Amazon Bedrock AgentCore payments, built with Coinbase and Stripe” (2026-05-07) — https://aws.amazon.com/blogs/machine-learning/agents-that-transact-introducing-amazon-bedrock-agentcore-payments-built-with-coinbase-and-stripe/
AWS What’s New: “Amazon Bedrock AgentCore now includes Payments (preview)” — https://aws.amazon.com/about-aws/whats-new/2026/04/amazon-bedrock-agentcore-payments-preview/
9to5Google: “Gemini Spark is Google’s upcoming AI agent in the Gemini app” (2026-05-14) — https://9to5google.com/2026/05/14/gemini-spark-insight/
Coinbase博客: “Introducing Amazon Bedrock AgentCore payments powered by x402 and Coinbase” — https://www.coinbase.com/blog/introducing-amazon-bedrock-agentcore-payments-powered-by-x402-and-coinbase
CoinDesk: “Amazon Rolls Out AI Agent Stablecoin Payments Platform with Coinbase and Stripe” (2026-05-07) — https://www.coindesk.com/business/2026/05/07/amazon-rolls-out-ai-agent-stablecoin-payments-platform-with-coinbase-and-stripe
Baker Botts法律分析: California AB 316 AI governance implications — https://ourtake.bakerbotts.com/post/102me2l/when-ai-agents-misbehave-governance-and-security-for-autonomous-ai

当AI开始自主刷卡：Agent支付能力已就绪，但谁来负责出了问题的那笔钱

7天之内，AI越过了一条线

AWS实际发布了什么

Google Spark的另一种方式

治理框架还没准备好：企业董事会尚未提出的问题

已知的失效模式：技术层面的具体风险

企业在下次审计之前应该做什么

Anthropic的另一条路：设计选择还是竞争选择

这是一个前沿：技术与治理的时间差永久化

非人类身份管理：企业安全的下一个主战场

监管先行：法律框架的演化速度超出预期

结语：这不只是技术问题，这是组织问题

非人类身份管理：企业安全的下一个主战场

监管先行：法律框架的演化速度超出预期

结语：这不只是技术问题，这是组织问题

作为普通用户：当Agent开始替你消费，你需要知道什么

参考资料

Tags:

About

Categories

Recent Posts

Resources