اگر امروز یک بات خرید آنلاین برای شما تراکنشی انجام دهد و سپس سیاستهای مرجوعی یک فروشگاه را در دهها فروشگاه مختلف تخلف کند، چه کسی باید پاسخگو باشد؟ در حالی که یک عامل نرمافزاری ممکن است پرداخت را مجاز کند، اما او همان موجودیتی نیست که انسان مالک آن است. در چنین سناریویی، مسئولیت حقوقی و اعتباری باید به خودِ عامل متصل شود، نه لزوماً کاربر انسانی.

این چرخش به سمت هوش مصنوعی تراکنشی خودکار، منجر به ظهور استانداردی جدید به نام شناسایی عامل (Know Your Agent یا KYA) شده است. طبق یک تحلیل فنی مورخ ۱۱ ژوئیه ۲۰۲۶ در وبسایت dev.to، صنعت در حال فاصله گرفتن از اعتبارنامههای قرضی کاربران و حرکت به سمت یک پشتهی شناسایی اختصاصی برای تجارت عاملمحور است. این توسعه، یک لایهی زیرساختی حیاتی برای اقتصاد تریلیون دلاری عاملمحور است؛ اقتصادی که ابعاد آن — طبق پیشبینیهای مککینزی که پیشتر در تحلیلهای ما بررسی شد — پتانسیل رسیدن به ۵ تریلیون دلار تا سال ۲۰۳۰ را دارد.
برای درک KYA باید آن را به عنوان یک تبار یا تکامل تاریخی ببینیم. ۴۰ سال است که بانکها از شناسایی مشتری (Know Your Customer یا KYC) برای تایید هویت انسانها از طریق شناسنامههای دولتی و لیستهای تحریم استفاده میکنند. سپس با تغییر ماهیت کسبوکارها، شناسایی کسبوکار (Know Your Business یا KYB) برای تایید موجودیتهای شرکتی و مالکان نهایی آنها (UBOs) ظهور کرد. اکنون، زیرا عاملهای نرمافزاری میتوانند اپراتورها را به قراردادها متصل کرده و وجوه مالی را جابهجا کنند، KYA همان اصول اولیه مدیریت ریسک — یعنی تایید هویت، ارزیابی ریسک، اعمال کنترلها و نگهداری شواهد — را برای کلاس جدیدی از بازیگران پیاده میکند.
معماری KYA
بر اساس مدل مرجعی که توسط Trulioo و PayOS پیشنهاد شده است، یک «پاسپورت دیجیتال عامل» کامل نیازمند پنج مرحلهی مشخص و گامبهگام است:
- تأیید توسعهدهنده: انجام بررسیهای مشابه KYB روی کسبوکاری که عامل را ساخته و توسعه داده است.
- قفل کد (Code Locking): اطمینان از اینکه تنها کد تأییدشده و دستنخورده است که تحت یک هویت خاص اجرا میشود تا از تغییرات مخرب جلوگیری شود. این لایه امنیتی در کنار راهکارهای جلوگیری از انحراف هدف در MoClaw میتواند تضمین کند که عامل دقیقاً طبق دستورالعملهای تعریفشده عمل میکند.
- ثبت مجوز: دریافت اثبات رمزنگاریشده از رضایت و موافقت اپراتور انسانی برای انجام تراکنشها.
- صدور پاسپورت: ایجاد یک اعتبارنامهی غیرقابل تغییر (Tamper-proof) که عامل در زمان اجرا به سیستمهای مقصد ارائه میدهد.
- نظارت مستمر: انجام جستجوی لحظهای (Real-time lookup) برای ابطال دسترسیها و امتیازدهی به ریسک رفتاری عامل در حین فعالیت.
چرا OAuth کافی نیست؟
توسعهدهندگان اغلب این پرسش را مطرح میکنند که چرا یک عامل نمیتواند صرفاً از توکن OAuth انسان استفاده کند. گزارش dev.to سه شکست بنیادین در این رویکرد را برمیشمارد:
۱. عدم تطابق اعتبار (Reputation Misalignment): اگر یک نسخهی خاص از یک عامل دچار نقص فنی یا رفتاری شود، سیگنال خطا باید به خودِ آن عامل برسد. استفاده از توکنهای قرضی، اعتبار کاربر انسانی را با عملکرد نرمافزار میآمیزد و باعث میشود کاربر بابت خطای کد جریمه شود.
۲. ابطال دقیق (Granular Revocation): زمانی که یک آسیبپذیری امنیتی در یک نسخهی خاص از عامل کشف میشود، اپراتورها نیاز دارند که «اعتماد به این نسخه» را بهصورت جهانی متوقف کنند، بدون اینکه مجبور شوند تکتک کاربران انسانی را از سیستم خارج کرده یا توکنهای آنها را باطل کنند.
۳. دقت حسابرسی (Audit Accuracy): رگولاتورها و نهادهای نظارتی نیازمند تفکیک شفاف بین «یک انسان که روی دکمه کلیک میکند» و «یک عامل که بهصورت خودکار تصمیم به خرید میگیرد» هستند. استاندارد OAuth این تمایز را از بین میبرد (Collapse)، در حالی که KYA آن را حفظ میکند.
چشمانداز تامینکنندگان
در سال ۲۰۲۶، چندین بازیگر در حال carve-out یا قبضه کردن بازار KYA هستند. شرکت Skyfire در حال عرضه اعتبارنامههای مدل JWT برای عاملها است و با F5 همکاری میکند تا سیستمهای مدیریت بات بتوانند عاملهای درآمدزا را از اسکرپرهای مخرب و مزاحم تشخیص دهند. Vouched نیز با گسترش پروتکل زمینه مدل (Model Context Protocol) و معرفی MCP-I (Identity)، شناسههای غیرمتمرکز و ردیابی اعتبار را به این زنجیره اضافه کرده است.
سایر شرکتهای تازهوارد شامل Prove است که KYAPay را در چارچوب تجارت بومیِ هوش مصنوعی خود ادغام کرده، و Persona که از پشتهی شناسایی پویای (Dynamic-IDV) خود برای تایید هویت عاملها بهره میبرد. در همین حال، غولهای پرداخت مانند Visa (از طریق Intelligent Commerce) و Mastercard (از طریق Agent Pay) در حال تزریق مستقیم این لایههای شناسایی در ریلهای پرداخت خود هستند.
KYA در مقابل UCP: لایهی اعتماد
یک خلط رایج میان KYA و پروتکل جامع تجارت (Universal Commerce Protocol یا UCP) وجود دارد. UCP لایهی انتقال رمزنگاریشده (Cryptographic Transport Layer) را فراهم میکند؛ این پروتکل از پروفایلهای /.well-known/ucp و امضاهای پیام HTTP مطابق با RFC 9421 استفاده میکند تا ثابت کند یک درخواست از طرف یک موجودیت خاص ارسال شده است.
با این حال، UCP تایید نمیکند که چه کسی آن موجودیت را اداره میکند یا آیا کد عامل قانونی و معتبر است یا خیر. KYA به عنوان یک لایه اعتماد (Trust Overlay) روی UCP عمل میکند. در حالی که UCP ثابت میکند بایتها از «کجا» آمدهاند، KYA به فروشنده میگوید که بر اساس هویت اپراتور و تاریخچه رفتاری، آیا «باید» به آن منشأ اعتماد کرد یا خیر.
افق رگولاتوری و قانونی
استانداردهای شناسایی بهندرت به صورت داوطلبانه آغاز میشوند؛ آنها معمولاً از دل قوانین بیرون میآیند. قانون هوش مصنوعی اتحادیه اروپا (EU AI Act) هماکنون شناسایی و ثبت گزارش (Logging) برای سیستمهای هوش مصنوعی «پرریسک» را اجباری کرده است که این موضوع مستقیماً با اصول اولیه KYA همسو است. با توجه به اینکه FATF در حال حاضر در حال بررسی جریانهای مالی هدایتشده توسط هوش مصنوعی است و فرمانهای اجرایی پیدرپی ایالات متحده بر ایمنی AI تمرکز دارند، KYA از یک «بهترین روش پیشنهادی» به یک «الزام قانونی» تبدیل شده است.
برای فروشندگان، این به معنای گذار از ثبت غیرفعال ترافیک باتها به سمت اجرای فعال سیاستهای نظارتی است. برای توسعهدهندگان، نیاز فوری این است که امضاهای RFC 9421 را پیادهسازی کرده و کلیدهای خود را از طریق پروفایلهای UCP منتشر کنند تا اطمینان یابند عاملهایشان به عنوان باتهای ساده مسدود نمیشوند.
این تغییر، عامل هوش مصنوعی را از یک ابزار ساده به یک بازیگر پاسخگو در برابر قانون تبدیل میکند. زمانی که این عاملها مدیریت پرتفولیوهای مالی بزرگتر و قراردادهای پیچیدهتر را بر عهده بگیرند، توانایی اثبات اینکه عامل «کیست» و «چه کسی» پشت آن ایستاده است، تنها سدی در برابر فروپاشی کامل اعتماد در تجارت خودکار خواهد بود.
گام بعدی شما
- مانیفست شناسایی عاملهای خود را بازبینی و Audit کنید.
- مطمئن شوید که یک پروفایل UCP ماشینخوان و کلیدهای امضای معتبر در جای خود دارید.
- پیش از آنکه فروشندگانی با «ارزش سفارش بالا» (High-AOV) الزام پاسپورتهای KYA را اجرا کنند، زیرساختهای شناسایی خود را بهروز کنید.
اما داستان سختافزاری این تحول حتی شگفتانگیزتر است — به تحلیل ما دربارهی تراشههای Blackwell مراجعه کنید.




گفتگو