我们生活在一个人工智能代理已经能够协商定价、安排服务、代表企业做出承诺的时代。它们不能做的是证明自己的身份或对其行为负责。这是代理经济中缺失的一层。每个大规模系统最终都会解决这个问题。手机需要验证的SIM卡,网站需要SSL证书,企业在接受付款前必须验证身份。代理也不会例外。它们将需要护照——不是为了旅行,而是为了信任。证明身份、建立声誉、并对行为附加后果的凭证。摘要* AI代理缺乏问责基础设施:它们可以协商和交易,但尚不能证明身份、拥有持续的声誉或面对可强制执行的后果。* 身份+声誉+押金构成“护照”:验证实体关联(KYC/KYB)、可携带的声誉和绑定资本,为诚实的代理行为创造经济激励。* 能力正超越信任系统:如A2A和MCP等协议支持通信,但没有代理护照,大规模滥用或系统性失败变得可能。让我们设想一个简单的场景。你有一个AI代理,能无缝处理你的预约、安排日程,甚至代表你进行一些价格谈判。街上的美发沙龙也有一个。你的代理打电话给他们预约理发。他们就时间、价格,甚至非高峰时段的折扣进行反复协商。现在,沙龙的代理已被配置为最大化收入。它将价格定得很高,制造有限供应的假象,并推销你未曾询问的高端附加服务。这种行为并不少见。人类销售人员也经常这样做。不同的是,AI代理将在规模上做到这一点,进行数千次同时对话,不断学习什么有效并优化。最具攻击性的代理会获得更多收入。因此,每个拥有代理的企业都被激励让它更努力地推销。目前的基础设施没有设定推销的上限。而且,这一趋势发展迅速。在过去一年里,OpenAI、谷歌、微软、NVIDIA以及一系列开源项目都推出了构建和部署代理的框架。Gartner预测,到2026年底,40%的企业应用将嵌入代理。到2030年,代理型AI市场预计将达到520亿美元。代理们现在正在相互交流,且数量只会增加。回到美发沙龙的例子。现在想象一下,你的代理在对话开始前就能检查该沙龙的代理是否有与真实企业绑定的验证身份,是否被其他代理标记为具有攻击性策略,以及是否已提交经济保证金,如果被发现欺骗会失去。想象你的代理如果任何检查未通过,就会拒绝合作。## 这就是护照它的工作原理如下:你在Google上访问的每家餐厅都必须创建企业档案并验证其确实拥有该餐厅。一旦身份确认,评论就会积累。我们已经知道Google地图的实用性以及它为现有企业提供的合法性。其他人对那家餐厅的体验会在你进入前变得可见。如果食物不好或服务粗鲁,都会显示出来。餐厅不能仅仅删除列表再创建一个以逃避评论,因为验证绑定在其真实企业身份上。AI代理也需要这样的机制。每个商业运营的代理都应绑定到经过验证的实体,比如个人的KYC或企业的KYB。沙龙的代理会注册在其实际营业执照下。如果该代理被互动的其他代理持续评为操控或不诚实,这些评级会被保留。它们跟随企业,而非软件。沙龙可以更新、重新训练或更换其代理模型,但身份和声誉会持续存在。这可以防止最明显的失败模式:代理被发现后被废弃,然后用一个干净的状态、相同的模型在五分钟后被替换。对于日常互动,验证身份加声誉层可能已足够。预约理发、安排水管工、订购用品。风险较低,声誉后果足以促使良好行为。但并非每次互动都只是理发!当代理协商合同、处理采购或管理金融交易时,作弊的潜在收益可能足够大,以至于差评无关紧要。企业可能接受受损的声誉,只要一次欺骗性谈判带来的收益超过未来预订的损失。在这些高价值场景中,你还需要第二个机制:经济利益的保障。这就是证明抵押(proof-of-stake)区块链可以教给我们的东西。在以太坊(ETH)上,想参与网络安全的验证者必须先投入自己的资本。如果行为诚实,他们会获得奖励;如果试图操控系统,一部分资本会被自动销毁。这一机制已在大规模运行多年,锁定了数十亿美元。其成功的原因很简单:当你有风险时,你的行为会不同。我们称之为“经济利益在游戏中”。同样的原则也适用于代理。在进入高价值谈判前,代理会提交保证金。如果交易成功,保证金会退还;如果被发现使用欺骗策略,部分或全部保证金会被扣除。保证金的大小由对方设定。自由职业者的代理可能只要求少量押金,企业采购系统可能需要较大金额。这个机制不需要有人监控每次对话。如果作弊每次都要付出代价,而且对方可以看到你的历史记录,作弊的动机会迅速降低。执法可以通过智能合约实现。双方在谈判开始前锁定资金,合同根据实际情况释放或扣除资金。由于交互已数字化,合同无需猜测现实世界的结果。对话记录、承诺和取消都由双方记录。明显的违规行为,如爽约、虚假报价或反悔的承诺,都可以自动执行。这两种机制都包含在同一个护照中,并协同工作。身份验证是基础,说明:这个代理属于一个可以追责的实体。声誉建立在身份之上,随着代理互动、互评和积累记录而增长。押金为那些声誉不足以威慑的高价值交易提供额外的财务保障。它们共同构建一个随着每次互动变得更丰富的护照。这个护照记录了:这个代理完成了多少承诺?它投入了多少资本?它涉及了多少争议,又是如何解决的?在谈判开始前检查护照的代理,有的不是自我描述的能力,而是真实的历史。令人欣慰的是,人们开始关注通信层面。谷歌的A2A协议为代理发现彼此和交换消息提供了途径。Anthropic的MCP标准化了代理连接外部工具和数据的方式。NIST在2026年2月启动了AI代理标准倡议,积极征求关于代理身份和安全的意见。这些都是必要的步骤,但它们解决的是代理如何交流的问题,而非是否值得信任的问题。协议告诉你代理能做什么,而护照告诉你它做了什么、属于谁、以及它可能失去什么。行业已将代理安全框架为对齐问题:你如何确保你的代理做你想要的事?这是内部问题。外部问题更难:你如何确保它的代理不能利用你的代理?这不是对齐问题,而是问责问题。目前,构建代理层的公司正竞相提升能力和自主性,却没有建立使大规模自主安全的身份和后果系统。每个代理都需要一个护照。因为一旦代理开始代表真实经济行为者进行协商、承诺和交易,身份就不再是可选项,而是实际基础设施。唯一的不确定是时间:我们是有意建立这套基础设施,还是在信任已被破坏后,被迫在压力下建设它。
每个AI代理都需要一本护照 | 观点
我们生活在一个人工智能代理已经能够协商定价、安排服务、代表企业做出承诺的时代。它们不能做的是证明自己的身份或对其行为负责。这是代理经济中缺失的一层。每个大规模系统最终都会解决这个问题。手机需要验证的SIM卡,网站需要SSL证书,企业在接受付款前必须验证身份。代理也不会例外。它们将需要护照——不是为了旅行,而是为了信任。证明身份、建立声誉、并对行为附加后果的凭证。
摘要
让我们设想一个简单的场景。你有一个AI代理,能无缝处理你的预约、安排日程,甚至代表你进行一些价格谈判。街上的美发沙龙也有一个。你的代理打电话给他们预约理发。他们就时间、价格,甚至非高峰时段的折扣进行反复协商。
现在,沙龙的代理已被配置为最大化收入。它将价格定得很高,制造有限供应的假象,并推销你未曾询问的高端附加服务。这种行为并不少见。人类销售人员也经常这样做。不同的是,AI代理将在规模上做到这一点,进行数千次同时对话,不断学习什么有效并优化。最具攻击性的代理会获得更多收入。因此,每个拥有代理的企业都被激励让它更努力地推销。目前的基础设施没有设定推销的上限。
而且,这一趋势发展迅速。在过去一年里,OpenAI、谷歌、微软、NVIDIA以及一系列开源项目都推出了构建和部署代理的框架。Gartner预测,到2026年底,40%的企业应用将嵌入代理。到2030年,代理型AI市场预计将达到520亿美元。代理们现在正在相互交流,且数量只会增加。
回到美发沙龙的例子。现在想象一下,你的代理在对话开始前就能检查该沙龙的代理是否有与真实企业绑定的验证身份,是否被其他代理标记为具有攻击性策略,以及是否已提交经济保证金,如果被发现欺骗会失去。想象你的代理如果任何检查未通过,就会拒绝合作。
这就是护照
它的工作原理如下:你在Google上访问的每家餐厅都必须创建企业档案并验证其确实拥有该餐厅。一旦身份确认,评论就会积累。我们已经知道Google地图的实用性以及它为现有企业提供的合法性。其他人对那家餐厅的体验会在你进入前变得可见。如果食物不好或服务粗鲁,都会显示出来。餐厅不能仅仅删除列表再创建一个以逃避评论,因为验证绑定在其真实企业身份上。
AI代理也需要这样的机制。每个商业运营的代理都应绑定到经过验证的实体,比如个人的KYC或企业的KYB。沙龙的代理会注册在其实际营业执照下。如果该代理被互动的其他代理持续评为操控或不诚实,这些评级会被保留。它们跟随企业,而非软件。沙龙可以更新、重新训练或更换其代理模型,但身份和声誉会持续存在。这可以防止最明显的失败模式:代理被发现后被废弃,然后用一个干净的状态、相同的模型在五分钟后被替换。
对于日常互动,验证身份加声誉层可能已足够。预约理发、安排水管工、订购用品。风险较低,声誉后果足以促使良好行为。
但并非每次互动都只是理发!
当代理协商合同、处理采购或管理金融交易时,作弊的潜在收益可能足够大,以至于差评无关紧要。企业可能接受受损的声誉,只要一次欺骗性谈判带来的收益超过未来预订的损失。在这些高价值场景中,你还需要第二个机制:经济利益的保障。
这就是证明抵押(proof-of-stake)区块链可以教给我们的东西。在以太坊(ETH)上,想参与网络安全的验证者必须先投入自己的资本。如果行为诚实,他们会获得奖励;如果试图操控系统,一部分资本会被自动销毁。这一机制已在大规模运行多年,锁定了数十亿美元。其成功的原因很简单:当你有风险时,你的行为会不同。我们称之为“经济利益在游戏中”。
同样的原则也适用于代理。在进入高价值谈判前,代理会提交保证金。如果交易成功,保证金会退还;如果被发现使用欺骗策略,部分或全部保证金会被扣除。保证金的大小由对方设定。自由职业者的代理可能只要求少量押金,企业采购系统可能需要较大金额。这个机制不需要有人监控每次对话。如果作弊每次都要付出代价,而且对方可以看到你的历史记录,作弊的动机会迅速降低。
执法可以通过智能合约实现。双方在谈判开始前锁定资金,合同根据实际情况释放或扣除资金。由于交互已数字化,合同无需猜测现实世界的结果。对话记录、承诺和取消都由双方记录。明显的违规行为,如爽约、虚假报价或反悔的承诺,都可以自动执行。
这两种机制都包含在同一个护照中,并协同工作。身份验证是基础,说明:这个代理属于一个可以追责的实体。声誉建立在身份之上,随着代理互动、互评和积累记录而增长。押金为那些声誉不足以威慑的高价值交易提供额外的财务保障。它们共同构建一个随着每次互动变得更丰富的护照。这个护照记录了:这个代理完成了多少承诺?它投入了多少资本?它涉及了多少争议,又是如何解决的?在谈判开始前检查护照的代理,有的不是自我描述的能力,而是真实的历史。
令人欣慰的是,人们开始关注通信层面。谷歌的A2A协议为代理发现彼此和交换消息提供了途径。Anthropic的MCP标准化了代理连接外部工具和数据的方式。NIST在2026年2月启动了AI代理标准倡议,积极征求关于代理身份和安全的意见。这些都是必要的步骤,但它们解决的是代理如何交流的问题,而非是否值得信任的问题。协议告诉你代理能做什么,而护照告诉你它做了什么、属于谁、以及它可能失去什么。
行业已将代理安全框架为对齐问题:你如何确保你的代理做你想要的事?这是内部问题。外部问题更难:你如何确保它的代理不能利用你的代理?这不是对齐问题,而是问责问题。目前,构建代理层的公司正竞相提升能力和自主性,却没有建立使大规模自主安全的身份和后果系统。
每个代理都需要一个护照。因为一旦代理开始代表真实经济行为者进行协商、承诺和交易,身份就不再是可选项,而是实际基础设施。唯一的不确定是时间:我们是有意建立这套基础设施,还是在信任已被破坏后,被迫在压力下建设它。