当智能体自主付款,治理体系已然滞后
2026年5月的某一周,企业级人工智能基础设施跨越了一道审计、合规与保险框架尚未划定的边界。5月7日,AWS发布了Amazon Bedrock AgentCore Payments预览版——这是一个与Coinbase和Stripe联合构建的系统,允许人工智能智能体在执行过程中自主完成支付:访问支付API、MCP服务器、网页内容及其他智能体,全程无需任何人工逐笔审批。一周后,谷歌即将推出的Gemini Spark智能体的一张泄露的引导界面截图显示,该系统警告用户:"该系统可能在未经询问的情况下执行分享您的信息或完成购买等操作。"七天之内,来自全球两大技术基础设施平台的两条公告,描述的是同一种行为:一个智能体自行决定花钱。
改变的不仅仅是技术层面。改变的是在企业内部作出财务决策的行为主体的本质。在此之前,人工智能系统负责推荐、分类或生成内容。而从这一刻起,其中一些系统也开始主动购买。各公司每年续签的采购政策、SOC 2与ISO 27001审计框架,以及网络保险合同,都是为一个每笔交易背后都有可识别自然人的世界而写就的。
那个自然人并非始终还在那里。
一个从未被审计就已激活的机制
Amazon Bedrock AgentCore Payments基于x402协议运行。这是一项由Coinbase开发的原生HTTP标准,将HTTP状态码402——"需要付款"(该状态码在技术上自九十年代便已存在,但从未大规模落地实施)——转化为一条机器对机器的支付通道。当智能体在执行过程中遇到需要付费的资源时,AgentCore协商x402条款,完成钱包认证,在Base网络——Coinbase的以太坊二层网络——上以USDC完成支付,并向资源提交支付凭证,全程不中断智能体的推理循环。开发者只需接入Coinbase CDP钱包或Stripe Privy钱包,以稳定币或借记卡充值,并设定每次会话的消费上限。结算时间约为200毫秒。
面向开发者的接口在设计上对底层协议刻意保持不透明。AWS不要求开发者了解x402协议或钱包机制。只需设定预算、启用该功能,托管服务便会处理执行层面的一切事项。华纳兄弟探索公司正在测试该系统,用于访问包括体育直播在内的高级内容;Heurist AI则利用它构建了一个研究智能体,为终端用户执行金融分析。AWS预计的下一批应用场景包括酒店预订、差旅及商户支付。
这套设计的优势在于为开发者消除了摩擦。它没有解决——也并不声称解决——的问题,是当智能体花掉没有人明确授权的资金时该怎么办,或者当被篡改的指令引导它将钱花在原始意图之外的目的地时该如何应对。
每次会话的消费上限是AWS提供的主要控制手段。这是一个切实有效的控制。但在结构上,它与2008年用于遏制信用卡欺诈的交易限额如出一辙:可以约束单次最坏事件,却无法约束累积性的攻击向量。假设一个智能体遭遇了由攻击者控制的端点,收到被投毒的指令,被引导通过200笔零点几美分的微支付"验证"一个钱包,且每次调用都在会话上限之内,那么它完全可以在不触发任何阈值警报的情况下,在累积层面将钱包清空。即便在最先进的前沿系统中,成功率也约有1%的提示词注入攻击,如今正以机器速度对一个握有资金访问权限的智能体发动攻击。2025年产生的是数据外泄,2026年可能产生的是资金转移。
高管层尚未量化的缺口
董事会迄今尚未精确提出的问题,是架构问题,而非技术问题:当智能体产生用户未授权的支出时,责任由谁承担?当采购方是软件时,客户尽职调查与反洗钱管控该如何执行?由智能体发起的支出应如何纳入采购政策管理?现行的SOC 2 Type II与ISO 27001认证是否能覆盖这些场景?
对最后一个问题,诚实的回答是:不能。SOC 2的设计前提是特权操作可以追溯至具体的责任人。审计师一旦在敏感系统中发现无法归因的操作,便将其视为问责缺口,因为该框架的构建本就预设了每项敏感操作背后都有一个可识别的个人。一个因工具调用结果、提示词注入或被植入恶意代码的网页而发起支付的智能体,不会产生该框架所预设的审计工件。ISO 27001建立了信息安全管理要求,但目前尚未包含针对自主交易型智能体的明确控制目标。
网络保险则存在一个不同但相关的缺口。现行的承保模型假定欺诈源于凭证窃取、社会工程攻击或系统入侵,而非经过正常认证、符合政策要求的智能体因响应对抗性提示词或存在缺陷的推理而发起支付。保险公司已开始在续保合同中加入人工智能附加条款,并要求提供大多数SOC 2报告中不包含的治理证据。行业对这一语境下"治理证据"的界定,目前尚无稳定的定义。
法律框架的演进速度快于审计框架。加利福尼亚州AB 316法案自2026年1月1日起生效,禁止被告以人工智能系统的自主运行作为责任索赔的抗辩理由。科罗拉多州人工智能法将于2026年6月生效,届时将要求高风险人工智能系统的部署者每年开展影响评估。欧盟《人工智能法案》面向消费者的透明度义务将于2026年8月2日正式生效。监管机构正在到来。保险公司正在到来。审计师随后才到。
非人类身份与财务权力的设计
在以技术风险为中心的分析中,这一问题有一个往往被忽视的结构性维度:谁在控制措施被设计出来时参与其中,以及这些控制措施隐性预设的行为主体是什么类型的角色。
企业财务治理框架——从采购政策到授权委托模型——建立在一种架构之上:消费权力在人与人之间流转,且有文件记录的审批形成一条保管链。这条链预设了人类的意图性、明确的记录,以及追究个人责任的可能性。特权身份与访问管理系统也遵循同样的逻辑:即便是服务账户,也有可识别的人类所有者。
具备支付能力的智能体在一个特定节点打断了这条链。它们并非游离于身份系统之外——AgentCore管理钱包认证,并在日志、指标和追踪记录中暴露支付活动——但它们游离于构建控制政策所依据的心智模型之外。据估计,非人类身份数量到2026年底将突破450亿,是全球人类劳动力总数的十二倍以上,而目前仅有约10%的组织报告拥有管理这些身份的策略。这个数字不仅是运营规模问题,更是权力设计问题:各组织将财务授权赋予了那些其自身政策甚至不承认具有行为主体身份的行为者。
对于已在评估或部署具备支付能力的智能体的企业而言,第一个切实可行的步骤,是将这些智能体纳入与具有消费授权的人类员工相同的身份清单。每一个能够转移资金的智能体,都需要与任何持有授权签字权的员工同等水平的可追溯性、定期审查与吊销政策。第二步是修订采购政策,将软件纳入可能的采购发起方:现行控制措施预设了人类发起人、有文件记录的采购订单以及可归因的审批链。一个在运行时通过稳定币微支付购买市场数据订阅的研究智能体,与上述任何模式都不相符。第三步是重新审阅那些智能体将在具备支付授权的情况下在企业边界内运行的供应商所持有的SOC 2与ISO 27001认证,要追问的不是供应商是否持有这些认证,而是审计周期是否涵盖了由智能体发起的交易,控制措辞是否涉及了无人在环的情况下所采取的行动。
这一周所揭示的人工智能权力设计问题
基础设施让智能体能够花钱的能力早于评估它的审计框架进入市场——这一事实本身具有重要意义。这既不是任何一家企业的技术疏忽,也不是蓄意为之的恶意决策。这是基础设施平台构建方式的一个结构性后果:云服务提供商争相抢占工作负载,率先推出新能力者便定义了事实标准。治理体系在监管机构、审计师和保险公司积累了足够多的事故、能够在其上构建框架之后才会到来。在通常的事物演进秩序中,这发生在第一次公开损害之后。
这一周还揭示了不同市场参与者在设定财务自主边界上的立场不对称。四大前沿人工智能提供商中有三家正在部署或预告能够转移资金的智能体。Anthropic的Claude则在政策层面封锁了自主购买功能,并将这一边界定位为产品特性而非局限。这一差异不仅是哲学层面的:它代表了对产品生命周期中声誉风险与法律责任所在位置的不同假设,以及谁愿意率先承担这种风险。
在这个问题上,真正的洞察力并不存在于正在构建这项能力的团队之中。它存在于内部审计、法务、合规与风险管理团队之中——而这些团队迄今尚未被纳入智能体部署的讨论之中。这一周所暴露的权力架构,并非智能体对人类的权力架构,而是部署节奏对治理节奏的权力架构——而这道裂缝,鲜少能够自行弥合。
