發表
我的網誌
AI從給建議進化到直接掏錢買單
企業級AI代理在短短一週內跨越了董事會尚未劃定的紅線。5月7日,亞馬遜(AMZN)旗下的AWS預覽了Amazon Bedrock AgentCore Payments功能。這是一項與Coinbase(COIN)和Stripe合作建立的託管功能,允許AI代理在單次工作階段的支出上限內,自主支付API、網頁內容及其他代理服務的費用。
緊接著在5月14日,谷歌(GOOGL)即將推出的Gemini Spark代理流出了測試畫面,內容顯示該AI「可能會在未經詢問的情況下分享您的資訊或進行購買」。市場普遍預期Gemini Spark將成為5月19日Google I/O大會的核心焦點。短短七天內,AI代理已從推薦購買的系統,進化為能直接完成交易的系統。
如今,花錢的基礎設施已成為Amazon Bedrock中的一個選項,也將是下一代Gemini的預設行為。然而,企業所依賴的治理、稽核與保險框架,當初都是為了人類批准每一筆交易的世界所制定的,如今這些規範已明顯跟不上AI發展的腳步。
亞馬遜(AMZN)打破常規推機器支付
Amazon Bedrock AgentCore Payments透過x402協定處理交易。這是一個開放的HTTP原生標準,將長期處於休眠狀態的HTTP 402「需要付款」狀態碼,轉變為機器對機器的支付軌道。當AI代理觸及付費端點時,AgentCore會在不中斷代理運算邏輯的情況下,處理錢包身分驗證、在Base區塊鏈上的穩定幣結算以及提供付款證明。
開發人員可以連接Coinbase(COIN) CDP錢包或Stripe Privy錢包,透過穩定幣或簽帳金融卡充值,並設定每次工作階段的支出上限。目前該預覽版在四個AWS區域運行,並整合了Coinbase(COIN) x402 Bazaar伺服器,讓AI代理無需事先設定即可搜尋並支付超過一萬個付費端點。
華納兄弟探索公司(WBD)正在測試AgentCore Payments,用於存取包含現場體育賽事在內的高優質內容;而Heurist AI則正在建立一個能為終端用戶執行財務分析的研究代理。亞馬遜(AMZN)旗下的AWS更表示,下一步將把應用範圍擴展至飯店預訂、旅遊預訂與商家支付等廣泛商業流程。
谷歌(GOOGL)與Anthropic的兩極策略
谷歌(GOOGL)的Gemini Spark則呈現出不同的面貌。根據應用程式測試版反編譯的文字顯示,Spark會從連接的應用程式、瀏覽紀錄、排程任務、位置數據以及一項名為「個人智慧」的功能中提取資訊,在背景執行收件匣清理、會議簡報與線上任務。測試畫面指出,AI可能會在未經詢問下進行購買,這被定位為實驗性階段的一項功能。
另一方面,Anthropic的Claude Cowork則處於完全相反的光譜極端,直接從政策層面阻擋了AI自主購買的行為。目前四大前沿AI供應商中,已有三家正在推出能夠移動資金的代理程式,而第四家則是將「不允許花錢」這條邊界作為其產品的差異化特色。
企業高層面臨未知的合規與法律漏洞
企業董事會尚未正視的問題包含:當AI代理進行了用戶未批准的購買時誰該負責?當買方是軟體時,了解客戶與防制洗錢的控管機制會發生什麼變化?採購政策該如何處理由代理驅動的支出?以及現有的SOC 2 Type II和ISO 27001認證是否涵蓋了這些範疇?目前的法律框架正以超越稽核框架的速度向前推進。
加州將於2026年1月1日生效的AB 316法案,禁止被告將AI系統的自主運作作為責任索賠的辯護理由,這意味著「是AI做的」在加州將不再是藉口。科羅拉多州的AI法案則將於2026年6月生效,要求高風險AI系統的部署者進行年度影響評估。歐盟AI法案的通用模型規則已經適用,更廣泛的消費者透明度義務則將於2026年8月2日啟動。
SOC 2並非為在沒有人類請求下運作的實體而設計。稽核員通常將無法歸因的特權操作視為問責漏洞,因為該框架期望敏感操作能追溯到負責的人員,而非自主系統。如果AI代理基於工具結果、提示詞注入或有毒網頁發起付款,並不會產生現有框架所需的稽核軌跡。同樣的漏洞也出現在網路保險中,保險公司已開始要求提供大多數SOC 2報告中未包含的治理證據。
提示詞注入成掏空企業錢包最大威脅
亞馬遜(AMZN)為AgentCore Payments行銷的主要保護機制是「單次工作階段支出上限」。這種控制方式雖然真實有效,但也與2008年用來限制信用卡盜刷的控制模式如出一轍。單次交易限制只能控制最糟糕的單一事件,卻無法限制整體的攻擊向量。
如果一個AI代理遇到了由攻擊者控制的付費端點,並讀取了惡意指令,要求它透過200次不到一美分的呼叫來「驗證」錢包,只要每次呼叫都保持在單次上限內,駭客依然可以在總量上將錢包內的資金掏空。
提示詞注入是底層的真正風險。Anthropic報告指出,在其內部的Claude Cowork測試中,這類攻擊的成功率約為1%,這已經是所有前沿供應商中最好的公開數據。然而,這剩餘1%的機率,現在卻以機器的速度針對具有錢包存取權限的AI代理進行運作。2026年初企業關注的失敗模式是資料外洩,但從2026年5月開始,最重要的失敗模式已轉變為資金的異常流動。
企業應對AI資金風險的三大關鍵策略
企業在下一次稽核前應採取的首個實際步驟,是像盤點人類與服務身分一樣,去對應AI代理的身分。根據美國國家標準暨技術研究院草案引用的研究,預計到2026年底,非人類身分將超過450億,是全球人類勞動力的十二倍以上,但只有約10%的組織表示擁有管理這些身分的策略。每個能移動資金的AI代理,都應與擁有相同權限的人類一樣被列入身分清單中。
第二步是改寫採購與應付帳款政策,承認軟體作為買方的地位。現有的政策假設有一個人類發起者、一份記錄在案的採購單,以及一條可歸因的批准鏈。如果一個研究代理在運行時透過穩定幣微支付購買市場數據,將完全不符合這些既有模式。防護漏洞最終必須透過修改政策或發生首宗公開事件來填補,而事前修改政策顯然是成本較低的選擇。
第三步是重新審閱那些獲准在企業網路內擁有支付權限的AI代理供應商,其提供的SOC 2與ISO 27001認證。關鍵問題不在於供應商是否擁有這些憑證,而是稽核期間是否涵蓋了由代理驅動的交易,以及控制語言是否解決了「沒有人類參與」所採取的行動。供應商將AI代理付款包裝為生產力的解放,但企業高層的視角必須更加嚴謹。AI已經從提供建議進化到具備財務後果的實際行動,而市場的稽核、治理與保險機制,顯然還沒有跟上腳步。
