AI Agent 越来越强,但谁来为它的行为负责?KYA 给出答案
本文将深入解析 KYA(Know Your Agent)如何帮助企业识别、验证并管理 AI Agent 行为。
过去几年,AI 的核心能力一直集中在“生成内容”上:写文本、做总结、生成代码、回答问题。但现在,一个更关键的转变正在发生,AI 正在从“生成工具”走向“执行主体”。
越来越多 AI Agent 已经不只是对话系统,而是直接参与真实业务流程:登录企业系统、调用 API、提交表单、处理付款、访问内部数据,甚至自动完成跨系统的业务操作。
当 AI 开始“动手做事”,一个更现实的问题也随之出现:当一个 AI Agent 完成了一笔付款、一次转账或一次数据修改,谁应该为它负责?
这正是KYA(Know Your Agent,了解你的代理)开始被重视的原因。
一、为什么 AI Agent 时代需要 KYA?
AI Agent 的变化,本质上是角色升级:从“辅助工具”变成“执行主体”。过去的自动化,通常依赖脚本或机器人流程(RPA),门槛高、范围有限,也容易被识别为异常行为。
01、AI Agent 时代,传统风控正在失效
但今天的 AI Agent 完全不同,它只需要自然语言指令,就能自主完成复杂操作。这带来一个结构性变化:自动化正在变得像“真实用户行为”。
于是,传统风控逻辑开始失效。以往企业判断风险的方式很简单:只要是自动化,大概率是风险行为。但现在问题变成:真实用户在用 AI Agent 自动付款,企业在用 Agent 自动处理订单,客服系统也在用 Agent 批量执行操作。
结果就是:“自动化 ≠ 风险” 这一判断已经不成立。企业无法再只问“是不是机器人”,而必须进一步追问:
这个 Agent 是否被授权?
背后是谁在控制?
这次操作是否具备责任主体?
02、AI Agent 的真正风险:无法追责
更深层的问题不在“自动化”,而在“不可追责”。在现有系统中,AI Agent 往往只是一个执行接口:系统可以看到请求被发起、API 被调用、交易被执行。但无法回答:是谁授权的?谁发起的?是否越权?是否真实用户行为?
尤其在金融、支付、电商等高风险场景中,这种“责任缺失”会被快速放大:
Agent 自动转账
自动批量下单
自动访问敏感数据
自动修改账户配置
一旦被滥用,其执行速度和规模远超传统自动化。原因很简单:AI Agent 具备更强自主性、更高执行效率,以及更接近人类的行为模式。
于是,一个新的问题变得不可回避:企业不仅需要 KYC(了解你的用户),还需要 KYA(了解你的代理)。
二、什么是 KYA:让“代理行为”可识别、可追溯
KYA(Know Your Agent)的核心目标,是为 AI Agent 建立一套“身份与责任体系”。它试图解决三件事:
AI Agent 是谁
谁在控制它
它的行为是否被授权
换句话说:KYC 是识别人;KYA 是识别“人通过 AI 在做什么”。这意味着 AI Agent 不再只是技术对象,而是被纳入“责任链”的执行实体。
01、从“机器身份”走向“人机绑定”
目前很多系统已经具备基础的机器身份能力,例如:API Key、Token、OAuth、证书、mTLS 等。这些机制只能回答一个问题:这是哪个 Agent?但无法回答更关键的问题:是谁在控制这个 Agent?
因此,KYA 的关键升级方向,是从“机器认证”走向“人机绑定”。也就是将 AI Agent 与真实、可验证的人类身份关联起来。在这一体系中:
Agent 必须能追溯到具体用户
高风险操作必须可验证授权
异常行为必须能归因到责任主体
在高风险场景下,还会结合更强验证手段,例如活体检测与动态授权,从而确保“操作背后确实存在一个真实的人”。
三、AI Agent 身份体系的三个核心层
一个完整的 AI Agent 安全体系,通常不只是“登录验证”,而是一个分层结构:
01、Agent 身份 Identity
这一层解决的是“它是谁”。包括:
API Key / Token
OAuth / 证书
数字签名 / mTLS
它的作用是识别“系统中哪个 Agent 在执行操作”。但它的局限也很明显:只能识别“机器”,无法识别“人”。
02、身份验证 uthentication
这一层解决的是“你是不是你”,它回答的是“是否可信接入系统”。用于确认:
Agent 是否真实存在
凭证是否有效
身份是否被伪造
03、授权控制 Authorization
这一层解决的是“你能做什么”。例如:
是否允许支付
是否允许访问敏感数据
是否允许调用特定 API
是否允许修改账户配置
关键点在于:身份真实 ≠ 权限无限。尤其是 AI Agent,一旦权限失控,其执行范围可能在短时间内指数级扩张。
四、Sumsub 的 KYA 方案:把 AI Agent 绑定到“真实责任人”
在这一问题上,Sumsub 提出的核心方向是:Human-bound AI Agent(人机绑定的 AI 代理)。也就是说,任何 AI Agent 的关键行为,都必须能够追溯到一个真实、已验证的人。
其整体逻辑可以概括为三步:
01、第一步:识别自动化与 AI Agent 行为
首先系统需要识别当前操作是否由 AI Agent 发起。一些 Agent 会主动声明身份(如 Token、证书等),可被识别为“已知自动化”。但更多情况下,恶意自动化不会暴露身份,而是模拟真实用户行为。
因此,系统必须结合多维信号进行判断,例如:
设备与浏览器环境异常
行为模式偏离人类轨迹
会话与交易行为不一致
持续风险评分变化
核心逻辑是:不仅识别“是不是自动化”,还要判断“它在做什么”。
02、第二步:实时风险评估,而非简单拦截
在 AI Agent 时代,自动化不再等于风险。很多真实业务流程本身就是自动化驱动的。因此,系统不再采用“发现即阻断”,而是转向持续风险评估:
行为是否异常
是否涉及敏感操作
是否存在资金或数据风险
是否与历史行为一致
只有在风险超过阈值时,才触发进一步验证,例如:活体检测、支付确认、动态身份校验等。这一步的目标是减少误伤,同时控制风险。
03、第三步:建立 Agent 与真人的责任映射
最后一步,是建立完整责任链:AI Agent → 已验证用户 → 真实责任人。这一步的意义在于:
所有操作可追溯
高风险行为可归因
滥用行为可追责
相比传统账号体系,这种方式显著提高了攻击成本:伪造一个 Agent 很容易,但伪造一个“已验证的人”很难。
五、Sumsub KYA 安全体系的关键能力组合
在 Sumsub 的 KYA 框架中,通常会结合多种身份识别与风险控制能力,例如:
机器人检测:识别自动化行为,并评估其风险等级,而不是默认将所有自动化视为恶意行为。
设备智能:分析底层浏览器、设备与运行环境,识别异常或自动化特征。
行为分析:分析用户交互模式,例如:鼠标移动、输入节奏、操作顺序、行为间隔,用于判断行为是否符合真实用户特征。
活体检测:在高风险场景下,确认是否真实存在真人,并正在主动授权操作。
动态风险控制:根据实时风险信号,对注册、登录、支付和敏感操作动态调整验证策略。
会话与交易监控:持续关联用户在登录、交易、账户修改等多个环节中的行为,形成完整风险视图。
这些能力结合后,企业真正获得的,不只是“发现自动化”。而是识别自动化背后的真实操作者,并建立完整的可信责任链。
六、KYA 最常见的应用场景
KYA 的价值主要体现在高自动化密度行业:
金融与支付:AI 自动付款、大额转账、自动化交易、金融工作流
电商与票务:自动抢票、黄牛倒卖、自动下单、批量购买
企业系统:自动流程执行、数据访问、权限操作
这些场景的共同点是:自动化已经成为业务的一部分,而不是异常行为。因此管理目标不再是“禁止自动化”,而是:识别、控制、追责。
结 语:Sumsub 的 KYA 体系,让 AI 可控、可追责
AI Agent 正在深入企业核心系统,但责任缺失带来新的治理风险。KYA 的价值在于重建链路:识别 Agent、绑定真人、明确授权、留存责任。
Sumsub 的 KYA 安全体系结合 AI Agent 验证能力,让 AI 的每次操作都能被理解、被控制、可追责。在 AI 从“工具”向“执行者”演进的过程中,这种能力不可或缺。
👉 如果您的企业正在布局新加坡或东南亚市场,面临 KYC、AML 合规或反欺诈方面的挑战,欢迎与优阅达交流,了解 Sumsub 解决方案如何适配您的业务场景: