隨著電子商務領域跟 AI 走得越來越近,許多網路商家其實都面臨一項棘手的新問題:該如何區分合法的 AI 購物代理,跟衝擊網站流量與資訊安全的惡意機器人?
對此,金融支付巨頭 Visa 推出了一項名為「信任代理協定」(Trusted Agent Protocol,TAP)的全新安全框架,並表示 TAP 將是實現「代理商務」,即消費者透過 AI 代理自動執行搜尋商品、比較價格,甚至讓 AI 自主完成購買行為,最關鍵的安全基礎技術之一。
Visa 指出,TAP 能讓商家即時驗證造訪網站的 AI 代理,究竟是經過授權且可信賴的人工智慧助手,或者是企圖爬取價格資料、測試盜刷信用卡,進行其他詐騙活動的惡意機器人。
AI 已驅動 4,700% 電商流量成長
選擇於此刻推出 TAP 標準,Visa 顯然看見 AI 代理商務的巨大潛力。根據 Adobe 統計,在過去一年期間,由 AI 所驅動的美國零售網站流量,即暴增高達 4,700% 以上,數字十分驚人。
然而,這股巨大的 AI 流量卻讓網路商家的處境變得有些尷尬。
畢竟,就傳統的資安防護機制來說,現有的機器人偵測系統,在設計上就是為了阻擋所有自動化流量,但現在卻有可能於阻擋惡意機器人的同時,也將合法的 AI 商務代理拒於商店之外。
Visa 全球增長主管 Rubail Birwadker 指出,由此可見網路商家確實需要新工具,應對 AI 代理的商務活動,也才能在確保安全的同時促進業務繼續成長;假若市場上沒有共同標準,整個 AI 商務領域可能會走向生態系的碎片化,導致應用環境變得封閉。
至於從消費者角度來看,數據顯示高達 85% 曾使用過 AI 協助購物的美國民眾指出,他們的消費體驗確實有所改善,這項事實更令網路商家陷入兩難,即他們不是得選擇流失合法使用 AI 代理的客戶,就是要讓自己暴露在複雜的自動化機器人攻擊之下。
三步驟過濾合法 AI 與惡意機器人
根據 Visa 在 2022 年 10 月至 2023 年 9 月期間的統計資料,公司成功阻止價值 400 億美元的詐騙活動,金額幾乎是前一年的兩倍。其中,許多詐騙行為都涉及由 AI 所驅動的「窮舉攻擊」,即不法份子透過自動化機器人,不斷在購物網站上測試信用卡號組合,直到找到有效的卡號為止。
為了解決網路零售商家所面臨的窘境,Visa 解釋,TAP 是透過商家與 AI 代理之間的「加密信任握手」(cryptographic trust handshake)來運作,其流程主要分為三大步驟:
首先,Visa 會要求 AI 代理必須加入該公司的「智慧商務計畫」,經過註冊與審核,確認 AI 代理符合信任和可靠性標準後,再發給 AI 代理一組獨特的數位簽章金鑰作為加密憑證。
接著,當獲得 Visa 認證的 AI 代理存取商家網站時,AI 將會使用金鑰建立數位簽章,並表達自己的代理意圖(查詢或購買商品)、消費者身分識別(註冊或登入購物網站帳號),以及下單後要使用的付款資訊。
最後,當 AI 代理透過 TAP 將相關資訊交給店家後,購物網站將會對照 Visa 的註冊資料庫並進行數位簽章驗證,一旦資訊獲得確認,商家就能藉此過濾出 AI 代理究竟是正規應用,還是惡意的自動化機器人。
Google、OpenAI 亦佈局自家方案
Visa 表示,雖然 TAP 是個全新協議,但它仍建立在「HTTP 訊息簽章標準」(HTTP Message Signature standard)之上,並且跟現有的 Web Both Auth 及其他網頁驗證機制相容,藉此最大程度減少商家於硬體設備、網頁設計方面的改動。
除了 Visa,TAP 的推動者還有網路基礎設施巨頭 Cloudflare,以及金融科技公司 Worldpay,這種跨領域合作也反映出,Visa 若想解決網路商店的機器人驗證問題,確實需要整個網路體系的合作,而不僅僅關係到支付層。
其他科技巨頭如 Google、OpenAI 等,亦競相規劃建立自己的標準,例如 Google 日前就推出了「代理支付協定」(Agent Protocol for Payments,AP2)。
對此 Visa 全球增長主管 Rubail Birwadker 展現出了合作態度,並指出無論是 Google 的 AP2,或者是 Visa 的 TAP,目標都是為 AI 代理商務建立起信任和安全,Visa 也跟 Google、OpenAI 與 Stripe 接觸,希望尋求生態系的相容。
萬一 AI 花錯錢,究竟誰該負責?
然而,AI 代理商務領域更大的問題,或許是在「授權」與「責任歸屬」。試想,假如 AI 代理誤解了使用者指令,甚至進一步完成了未經人類授權的交易,那麼其後果究竟該由誰負責?
關於上述疑問,Visa 並沒有給出正面回應,僅強調 TAP 可以讓消費結帳過程變得更安全,同時提升使用者的購物體驗。
外界推測,Visa 現有的詐騙防護措施,以及傳統的「信用卡爭議款」(chargeback)系統,理應會承擔一部份責任,只是官方仍未公布針對 AI 代理交易發生問題時的具體指引。
另一方面,當前 TAP 的流程設計,讓 Visa 幾乎成為 AI 代理商務生態系的「守門人」,畢竟 Visa 有權決定誰能加入「智慧商務計畫」並發放數位簽章,因此實質控制了商家能「輕易信任」哪些 AI 代理。
長遠而言,由 Visa 扮演守門人角色,未來可能引發許多爭議,特別是若審核過程偏袒大型科技公司,或者有意阻擋其他競爭對手的情況下。回顧日前 Visa 才因收款交易的路由規則,而遭到美國司法部發起反壟斷調查,在巨大的監管壓力下,TAP 的推廣看起來確實需要時間。
Visa 想當守門人,市場雜音不會少
過去五年,Visa 投資了近 100 億美元,希望減少詐騙並提高網路安全,其中 AI 技術的應用更被視為重中之重;當前 Visa 的偵測系統會即時分析每筆交易上,超過 500 種不同屬性,為全年累積 3,000 億筆交易進行風險評分。
從市場戰略的角度來看,TAP 或許可視為 Visa 於 AI 佈局方面的延伸,確保未來即使民眾的購物行為從「人機互動」轉變為「AI 中介」,Visa 仍可以在支付流程中,佔據最為關鍵的核心地位。
因此,TAP 真正所面臨的考驗,或許並不在於技術實踐,而是更加敏感的政治層面。
隨著 AI 代理在零售業扮演更重要的角色,誰能控制安全驗證、付款金流等基礎設施,誰就擁有了數千億美元的市場話語權,Visa 的 TAP 顯然讓該公司握有巨大優勢和籌碼,但也會因此成為眾矢之的。
尤其對於那些早已十分不滿 Visa 手續費的商家來說,面對 TAP 他們可能不會再願意讓出更多權力,而 Google、OpenAI 等競爭對手,亦沒有理由讓 Visa 主導標準,監管機構對於不公平競爭的加嚴審查,更會打擊 Visa 的統治野心。
消費者、商家與監管機構是否接受?
目前 TAP 已經於 Visa 開發者中心與 GitHub 上線,同時官方也啟動了 AI 代理的註冊流程,並為網路商家提供整合資源。
Visa 全球增長主管 Rubail Birwadker 並未透露,未來一年將有多少商家採用該協議的具體目標,僅指出 TAP 不只是個技術里程碑,更象徵 AI 商務領域開始走向統一。
在充斥著 AI 代理、AI 中介、AI 商務的新未來,Visa 正試圖成為仲裁者,決定消費者可以透過誰、透過什麼方式進行消費;民眾、商家和監管機構,是否能夠接受 Visa 的標準和生態系,或許會決定未來消費市場的整體樣貌。
【推薦閱讀】
◆ 【ChatGPT 能幫你結帳了】OpenAI 與 Etsy、Shopify 推即時結帳,開源代理商務協議
◆ AI 無縫支付時代來臨!Google 推 AI 代理支付協議「AP2」,還支援穩定幣
◆ 【結帳流程將消失】AI 代理商務來襲,萬事達卡、VISA、PayPal 如何全面備戰?
*本文開放合作夥伴轉載,參考資料:《VentureBeat》、《PYMNTS》,首圖來源:Hippopx
(責任編輯:鄒家彥)
