在AI Agent的世界里,最根本的问题不是”谁更聪明”,而是”你怎么知道对面那个Agent背后是一个真人”。World ID的虹膜扫描给出了一种激进的答案,但这个答案引发的问题可能比它解决的还多。

从身份危机说起

2026年3月20日,一个名为AgentKit的新产品悄然发布,它来自Tools for Humanity——也就是WorldCoin的母公司。AgentKit的核心功能看似简单:让AI购物Agent能够通过虹膜扫描(World ID)绑定一个经过生物特征验证的真实人类身份,然后使用x402支付协议进行经济交易(来源:northeastpacificminke.org,2026-03-20)。

这个产品之所以值得深入讨论,不是因为它的技术有多先进,而是因为它触碰了AI Agent时代一个最基础、最棘手、也最容易被技术乐观主义者忽视的问题:在一个越来越多经济行为由AI Agent执行的世界里,我们如何验证这些Agent背后确实有一个负责任的人类个体?

这个问题并非杞人忧天。在同一周内,Visa发布了Trusted Agent Protocol,Mastercard和桑坦德银行完成了首笔AI Agent实时支付,Coinbase推出了x402机器对机器微支付协议,Google发布了Agent Payments Protocol(来源:ShamLaTech,2026-03-20)。四大支付巨头同时进场,意味着AI Agent进入经济系统已经不是一个理论问题而是一个正在发生的现实。但所有这些支付方案都绕开了一个根本性前提:当一个AI Agent发起一笔交易时,系统如何确认它确实是在代表一个合法的人类用户行事,而不是一个自主运行的无主程序、一个被黑客劫持的恶意脚本、或者一个冒充人类的机器人网络节点?

虹膜扫描:最激进也最具争议的答案

AgentKit提出的解决方案是从人类身份的生物学根基出发:通过虹膜扫描创建一个全球唯一的、不可伪造的人类身份证明(World ID),然后将AI Agent的所有经济行为锚定到这个生物特征身份上。

这个方案的技术逻辑是清晰的。虹膜是人体中独特性最高的生物特征之一——即便是同卵双胞胎的虹膜模式也不完全相同。World ID的声称是:通过其专用的”Orb”虹膜扫描设备采集的虹膜数据,可以在数学上保证全球范围内每个人的身份唯一性。这意味着一个绑定了World ID的AI Agent不仅可以被追溯到一个具体的人类个体,更重要的是,系统可以确认”这个Agent背后只有一个人”——同一个人不能创建多个虚假身份来操控多个Agent进行协同欺诈。

在Agent经济的语境下,这种”一人一ID”的保证具有独特的价值。考虑一个具体场景:如果一个恶意行为者可以轻松创建一千个看似独立的AI Agent,每个Agent都拥有独立的数字身份和支付能力,那么他就可以利用这些Agent进行协同操纵——在电商平台上伪造评价和刷单、在金融市场上进行协同交易操纵、在社交平台上制造虚假的”共识”。World ID的虹膜验证理论上可以从根源上阻断这种攻击:每个人最多只能拥有一个经过虹膜验证的身份,无论他创建多少个Agent,系统都能将它们关联到同一个人类个体。

但这个方案引发的伦理和实践争议同样巨大,甚至可以说是震耳欲聋的。

首先是隐私权的根本性挑战。要求普通用户为了使用AI购物Agent而接受虹膜扫描,在许多文化和法律背景下都是不可接受的。虹膜是一种永久性的生物特征——你可以更换密码,可以注销邮箱,但你无法更换你的虹膜。一旦虹膜数据被采集,无论存储方式多么安全,都存在泄露、被滥用或被胁迫使用的风险。欧盟的《通用数据保护条例》(GDPR)将生物特征数据列为”特殊类别个人数据”,对其收集和处理施加了最严格的限制条件。在多个欧洲国家和部分美国州,WorldCoin的虹膜采集活动已经面临监管调查和法律挑战。

其次是可及性和公平性问题。World ID的虹膜采集目前依赖于专用的Orb设备,这些设备的全球分布极度不均匀。如果Agent经济的参与需要以虹膜验证为前提,那么无法方便接触到Orb设备的人群——包括发展中国家的大部分人口、残障人士、以及出于宗教或文化原因拒绝生物特征采集的群体——将被系统性地排斥在这个新经济形态之外。这与AI民主化的承诺形成了尖锐的矛盾。

第三个争议在于权力集中。如果全球数十亿人的虹膜数据集中在一家私营公司手中——即使这些数据以去中心化的方式存储——这家公司实际上就掌握了全球最大的生物特征身份数据库。这种集中化的权力本身就构成了一种系统性风险,无论这家公司的意图多么良善。历史反复证明,任何形式的集中化身份数据库——无论是政府运营的还是企业运营的——最终都会面临滥用、泄露或被胁迫开放的压力。虹膜数据库的风险比传统身份数据库更大,因为虹膜是不可更换的——密码泄露了可以重置,身份证号码泄露了至少还可以挂失,但虹膜一旦泄露就是终身的安全隐患。

第四个值得关注的争议是技术上的可绕过性。虽然虹膜扫描在理论上几乎不可伪造,但”身份验证”与”行为控制”之间存在根本性的鸿沟。一个人可以合法地完成虹膜验证获得其独有的数字身份标识,然后将对应的密钥或授权令牌交给另一个人或一个自动化程序来使用。这种”身份出借”或”身份转售”的行为在技术层面极难防范——系统只能验证”这个身份令牌是由一个真实的虹膜签发的”,但无法验证”此刻使用这个令牌的请求确实是由虹膜所有者本人发起的”。在经济利益驱动下,围绕虹膜身份的灰色市场几乎是不可避免的。

AWS AgentCore的另一条路:基于策略的可证明安全

在AgentKit的生物特征路径之外,另一种截然不同的Agent身份与安全方案正在企业市场上获得牵引力。

AWS在2026年3月的AI与数据大会上详细介绍了其AgentCore平台和配套的安全框架,核心组件包括Bedrock Guardrails(控制Agent的输入输出边界)和AgentCore Policy(控制Agent的行为权限)。最引人注目的技术亮点是AgentCore Policy使用的Cedar语言——一种由AWS开发的声明式授权语言,能够提供数学上”可证明”的Agent行为安全保证(来源:AWS Events/YouTube,2026-03-20)。

Cedar的核心理念是:与其试图验证Agent背后的人类身份,不如精确地定义Agent被允许做什么、不被允许做什么,并通过形式化验证技术证明Agent在任何情况下都不会超越这些边界。这是一种工程导向而非身份导向的安全方法——它不关心”你是谁”,而关心”你能做什么”。

但形式化验证在实践中也有其明确的局限性。Cedar能够证明的是Agent在”已定义策略范围内”的行为安全性——如果策略本身写得不完整、遗漏了某些边界条件,Agent仍可能在策略未覆盖的灰色地带做出不当行为。更根本的挑战是:当AI Agent的能力随模型升级而扩展时,原有的策略定义可能需要同步更新——而策略更新的速度能否跟上模型能力进化的速度,是一个尚未被充分验证的工程问题。换言之,Cedar解决的是”在给定规则下证明Agent不越界”的问题,但”规则本身是否完备”仍然需要人类判断。

在企业场景中,即便存在这些局限,这种方法依然有明显的优势。一个企业内部的AI Agent不需要”证明自己是人类”——它需要证明的是”我只会在授权范围内操作,不会访问不该访问的数据,不会执行不该执行的交易”。Cedar语言使得这种证明可以从”靠人工审计”上升到”靠数学证明”的严格性级别。

Salesforce的Agentforce平台则提供了另一种企业级Agent安全方案。其Trusted Services安全层包括五个核心组件:实时事件监控、交易安全策略引擎、Security Center集中管理指标、Data Mask和Seed安全测试机制、以及Backup和Recover灾难恢复(来源:Salesforce Blog,2026-03-20)。与AWS的形式化验证方法不同,Salesforce的方案更侧重于运行时监控和异常检测——它不试图在数学上证明Agent永远不会出错,而是确保当Agent出错时能被立即发现和纠正。

多Agent编排中的信任问题

身份和安全的挑战在多Agent系统中会成倍放大。根据一篇来自Unmarkdown的深度分析,虽然95%的AI任务用单个Agent加上好的上下文就足够了,但在那关键的5%——大规模代码重构、并行架构探索、批量内容生成——多Agent编排是不可替代的(来源:Unmarkdown,2026-03-20)。

在多Agent场景中,一个编排Agent需要将任务分配给多个执行Agent,这些执行Agent可能来自不同的提供商、运行在不同的基础设施上、拥有不同的能力和权限级别。编排Agent如何验证每个执行Agent的身份和能力声明?执行Agent如何确认编排Agent的指令是合法的?当一个Agent链条中的某个节点被恶意替换时,系统如何检测和隔离威胁?

这些问题在理论上类似于分布式计算中经典的”拜占庭容错”问题——但在AI Agent的场景中,情况更加复杂,因为Agent的行为不仅仅是”正确”或”错误”的二元判断,还涉及”是否在授权范围内”“是否符合原始意图”“是否产生了未预期的副作用”等多维度评估。

Andrej Karpathy在2026年3月的一次公开讨论中谈到了AI的”循环时代”——Agent不再是一次性的输入输出处理器,而是持续运行的循环系统,能够自主研究、自主编码、自主验证(来源:Next Big Future,2026-03-20)。在这种”永远在线”的Agent范式中,身份验证和权限管理不能是一次性的检查点,而必须是持续的、动态的、自适应的安全机制。

大多数人没看到的:数字身份基础设施的范式转换

无论是World ID的虹膜路径、AWS的策略验证路径、还是Salesforce的运行时监控路径,它们共同指向的一个深层趋势是:AI Agent的兴起正在触发数字身份基础设施的一次根本性范式转换。

过去三十年来,互联网的身份系统围绕一个核心概念运转:”账户”——一个用户名加密码的组合,代表一个人类用户在某个平台上的存在。这个模型在Web 1.0和Web 2.0时代运行良好,因为隐含的假设始终成立:账户背后是一个人类。

AI Agent打破了这个假设。一个Agent可以拥有自己的账户、自己的API密钥、自己的支付凭证——它在系统层面与人类用户几乎无法区分。当我们无法通过传统的账户体系区分人类和Agent时,整个互联网的信任模型就需要被重构。

这不仅仅是一个技术问题。它触及了哲学层面的根本疑问:在数字空间中,”身份”究竟意味着什么?当一个AI Agent比某些人类用户更可靠地完成交易、更准确地回答问题、更忠实地执行指令时,我们是否还需要坚持”只有人类才能拥有完整的经济行为权”这一前提?如果需要,理由是什么?如果不需要,边界在哪里?

这些问题在2026年3月还没有答案,但AgentKit、AgentCore和Agentforce的同时出现告诉我们:整个产业已经意识到,Agent时代的数字身份不能再是一个事后附加的安全层——它必须成为整个Agent基础设施架构的核心设计要素之一。谁能在这个问题上给出最好的答案,谁就能在Agent经济的下一个十年中占据最有利的位置。而这个答案,很可能不是虹膜扫描和策略引擎中的任何一个单独能给出的——它更可能是一种我们今天尚未完全构想出来的混合架构。

从历史的角度来看,每一次计算范式的重大转变都伴随着身份体系的根本性重构。大型机时代的身份是终端号码,个人电脑时代的身份是本地用户账户,互联网时代的身份是电子邮箱和用户名密码,移动时代的身份是手机号码和应用商店账户,区块链时代尝试了加密钱包地址作为身份。每一次转变都不是在旧体系上打补丁,而是创造了全新的身份范式。

如果这个历史规律成立——而目前看来它很可能成立——那么我们正处于一个新的身份范式诞生的前夜。在这个新范式中,”身份”将不再仅仅是”这个数字实体背后是哪个人”的问题,而是一个更复杂的多维度认证:”这个实体有什么能力、受什么约束、被谁授权、向谁负责、有多少信用历史”。这种新的身份概念既适用于人类用户,也适用于他们的数字代理——这或许才是真正意义上的”人机融合”的起点。

对于企业决策者而言,现在就需要开始思考一个战略问题:你的组织准备如何管理和验证那些代表你的员工、客户和业务流程行事的各类智能代理的身份和权限?这个问题在今天看来可能还有些超前,但以四大支付巨头和三大云平台同时布局的速度来判断,它成为董事会议题的时间可能比大多数人预期的要快得多。

参考资料

  1. AI Shopping Agents: How World’s AgentKit Verifies Human Control — Northeast Pacific Minke, 2026-03-20
  2. AI Agents Are Entering Commerce: Visa, Mastercard, Coinbase, Google — ShamLaTech, 2026-03-20
  3. AWS Bedrock构建安全AI Agent: Guardrails + AgentCore + Cedar — AWS AI & Data Conference, 2026-03-20
  4. Salesforce发布Agentforce安全层 — Salesforce Blog, 2026-03-20
  5. 多Agent编排实战指南:95%的任务不需要多Agent — Unmarkdown, 2026-03-20
  6. Andrej Karpathy论Code Agents与AutoResearch — Next Big Future, 2026-03-20