当AI开始花钱，人类还没做好准备|agent|amazon|服务器|算法|花钱

AI购物，Amazon说不

想象一下：你跟AI说，「帮我找一双120美元以下、适合扁平足、评价最好的跑步鞋」，然后它自动访问Amazon、Walmart、Nike，比完价格、读完评价、过滤掉商家的广告推荐，直接下单。整个过程你不需要点一下屏幕。

是不是很美好？很省钱？

这不是想象，这是已经发生的现实。

Perplexity 上线了一个叫「Comet」的功能，就是这样工作的。但Amazon很快把Perplexity告上了法院。

2026年3月9日，美国华盛顿西区联邦法院给Amazon发了一个临时禁令，禁止Comet访问Amazon站点。一周后，第九巡回上诉法院暂缓了这个禁令。Comet恢复了，但官司才刚开始打。

表面上打的是法律，实际上打的是广告

这场仗，表面上是技术纠纷，实际上打的是一个很根本的问题：当人类授权一个AI替他花钱，平台有没有权利把AI拒之门外？

Amazon的法律依据是1986年的《计算机欺诈与滥用法案》（CFAA）。它指控Perplexity把Comet的身份伪装成了正常Chrome浏览器，属于「故意技术绕过」。

这个指控有一定道理。CFAA当年是为了打击黑客入侵计算机系统设计的，条文里有一条禁止「超出授权范围访问计算机」。Amazon的逻辑是：人类用户在Amazon上的授权是给真人用的，AI用伪装身份进去，等于超出了授权范围。

Perplexity的反驳很直接：你们真正的动机，是保护560亿美元的广告收入。

Amazon的商业模式里，很大一块利润来自商家购买「赞助产品」位置——你在搜索结果里看到的「推荐」，有很大比例是商家花钱买的。AI Agent没有眼球，不会被诱导性横幅广告吸引，它只会给出真正的最优解。对Amazon来说，AI「没有眼球」这个特性，直接动摇了它的广告系统。

有意思的是，法院第一次出手，站在了Amazon这一边。联邦地区法院的逻辑是：即便人类用户授权了AI替他购物，平台也有权基于「非人类访问」拒绝服务。这个判断的潜台词是：平台授权优先于用户授权——你想让AI进门，先问平台答不答应。

第九巡回法院的暂缓令把这个判断暂时搁置了，但没有否定这个逻辑，只是说「目前证据不足以维持禁令」。案子还会继续打下去。

但比这场官司的输赢更值得看的，是它背后暴露的真正问题：整个支付体系在设计之初，根本没有考虑过AI会成为付款方。

现在的支付这件事，是给人类设计的

以购物网站为代表的金融服务，都需要用户进行KYC，比如上传护照扫描件，做人脸识别，有的还要线下打印文件签字后举着拍照。验证码要求你识别红绿灯和斑马线。信用卡结算要T+1到T+7，还要收固定手续费——美国商户标准费率是每笔2.9%加0.30美元，国际卡再加1%。

这套规则对人类消费者很友好。但AI作为付款方，这些全都驴唇不对马嘴——它的消费逻辑和人类完全不一样。

AI Agent的交易特征，是高频、极微额、全天候的。每调用一次API收 0.0001美元，阅读一行数据收0.00001美元，购买一秒GPU算力可能只花 0.000001美元。你用传统信用卡结算，光手续费就把交易金额吃干净了。这不是优化一下体验就能解决的问题，是整套基础设施可能都需要来改动。

给AI建一套新架子

所以，2026年的科技公司、金融机构和Web3开发者，正在重建一套给AI用的支付架构。按照红林律师我的理解，大致是三层。

第一层：身份

以前叫KYC，了解你的客户。现在需要的是KYA，了解你的Agent。

KYA协议要回答三个问题：这个Agent代表谁？它的单次支付限额和有效期是什么？它历史上有没有违约记录？

Skyfire把OAuth授权和链上加密凭证结合了起来，给AI发一张「受权代理人」的数字护照。商户看到这张护照，就知道这笔交易背后有个真实的人类用户在承担责任，有问题能找到人。

F5公司的云防御系统能识别携带KYA令牌的合法AI流量，把它和恶意爬虫区分开来。商户愿意把结算页面开放给这类AI，因为知道它是「认证过的」，不是来偷数据的。

还有一个技术底座：TEE，可信执行环境。

TEE的作用是给AI的私钥提供一个硬件级别的保险箱。主流方案是Intel SGX或TDX，AI Agent的核心逻辑运行在一个被物理隔离的加密舱里。

这个设计的直接目的是安全——即便云服务器被攻破，攻击者也看不到私钥，无法篡改支付决策。

但它解决的不只是安全问题。它让「授权不等于转让」这句话从法律概念变成了可验证的技术事实：用户给了AI花钱的权限，但AI只能在预设规则下调用签名，超出范围就签不出去。

第二层：协议

机器和机器之间，不应该模拟人类点网页。

HTTP状态码402，从1999年定义出来就没被用过。2025年末，Coinbase和Cloudflare把它激活了。

工作流程很简单：AI向服务器请求数据，服务器说「这条数据收费0.01USDC」，返回402状态码和收款地址；AI钱包自动生成加密签名，附在请求头里发出去；服务器验证签名，资金通过L2网络实时结算，数据直接返回。全程不到一秒钟，没有跳转，没有弹窗，没有验证码。

Stripe和Visa联合推出的MPP协议走得更远，支持「一次授权、多次支出」的会话模式：用户给AI开一个24小时有效的购物窗口，设定200美元上限，接下来AI在这个范围内的所有交易自动结算，不需要人类逐笔确认。Stripe 内部把它叫「金钱版的OAuth」。

第三层：结算

在这个层面，稳定币是唯一的答案。

为什么不是银行转账？不是PayPal？不是积分体系？

因为稳定币运行在区块链上，它是可编程的。银行转账是批量结算，今天汇出去的钱，对方可能要两天后才到账，中间有窗口期，有资金占压，有对手方风险。稳定币在网络上，结算时间可以达到毫秒级，没有窗口期，资金实时到账。

USDC在Base链上单笔手续费不到0.0001美元，200毫秒清算完毕。更重要的是，它支持「流支付」—— AI每使用一秒GPU算力，就实时流转对应金额，完美按量计费。这对AI的商业场景来说是根本性的改变：AI服务商可以按实际消耗收费，不需要预付，不需要锁定资金，不需要担心结算周期里的价格波动。

AI的钱包也不是人类那种记助记词的钱包，而是高度定制化的智能合约，里面内嵌了三道安全阀：

白名单机制。资金只能流向经过Skyfire KYA认证的合法商户。未经认证的地址，一分钱都转不出去。这解决了AI被劫持后乱转账的风险。

幂等性保护。防止Agent因为逻辑死循环或者网络抖动，同一笔订单被重复扣款。一次确认，多次扣款，在传统支付里是个大麻烦，在智能合约里是可以从设计上避免的。

异常熔断。如果Agent在一分钟内发起的交易频率超过了预设阈值——比如正常场景下一分钟最多10笔，突然变成了1000笔——合约自动锁定，所有交易暂停，等人类来检查发生了什么。这不是可选项，是必须有的安全设计。

四个有待解决的法律问题

技术方案设计得好，不代表法律问题就自动消失了。

AI手滑了，谁来赔？

如果AI误读了商品信息，把单价当成总价，下了一张100万美元的订单——这笔账算谁的？

按照现行代理法，如果商户有理由相信这个AI代表了用户的真实意图，契约责任通常由用户承担。但这个逻辑需要打补丁。

我们可以想到的解决思路是：对于超过用户日常消费均值5倍的订单，即便AI有完全授权，系统必须强制转回人类确认。这个机制叫「数字冷却期」。没有这个机制，法律上这类订单应该被视为可撤销的。

AI的忠诚义务。

如果Perplexity的Agent在搜索时，故意避开没有合作关系的低价平台，推荐的是给了佣金但价格更高的商品——这算不算违约？

AI作为用户的代理人，在用户设定的约束条件下，应该寻求最优利益。如果服务商通过算法操纵AI的选择以谋私利，且没有向用户明确告知，用户有权根据《消费者权益保护法》和代理法起诉。

这不是理论风险。AI的推荐算法天然容易被「竞价排名」污染，如果没有强制性的透明度要求，用户根本不知道自己的 Agent 是不是在给他挖坑。

AML怎么穿透AI的交易？

AI的高频微额支付，天然是洗钱的温床——每一笔金额太小、频率太高，传统风控模型根本盯不住。

解决方案在协议层。x402的「促进者」（Facilitator）角色必须履行KYT职责，实时监测链上资金是否流向受制裁地址。每一笔稳定币变动，必须能溯源到背后真实的「碳基受益人」。

一旦AI系统被用于非法洗钱，不仅公司要面临监管处罚，相关责任人员也可能被追究个人责任。「人机共责」这个思路，简单说就是：写代码的人，不能躲在公司后面免责。算法工程师知道这段代码会被用来洗钱、还照常交付，和直接参与犯罪没有区别。这个逻辑在现行法律框架里不是没有依据——《刑法》里共同犯罪的规定，恰恰可以覆盖这种「明知故犯」的情形。

谁保管你的钱包？

AI为了帮人类花钱，必须持有用户的支付凭证——私钥、平台登录权限、甚至生物识别令牌。

这个场景推进得比大多数人想象的要快。今天AI能帮用户买机票、订酒店、买跑步鞋，下一步就是交水电煤、还信用卡、管理日常开销。AI持有的是用户的银行账号密码、支付密码，以及各大平台的登录权限。

这里有一个大多数人没想过的问题：你把凭证交给AI，和你把权利交给AI，是两回事。

举一个生活里的例子：你把银行卡交给子女方便急用，不等于授权他们可以随意支配你账户里的每一分钱。这里面有默认的边界，边界在哪里，双方心里都有数，只是没有明文写下来。AI持有用户的支付凭证，道理是一样的——授权它帮你花钱，不等于授权它想怎么花就怎么花。但在法律上，这个边界目前是模糊的，没有判例说清楚，AI在什么范围内有权替你花钱、超过什么范围必须经过你确认。

解决这个问题，两个层面需要同时推进。

法律层面。光靠用户协议写一句「受限授权」是不够的，这件事最终要由判例和立法来兜底。目前AI Agent的法律地位、责任边界、授权范围，在任何国家都没有系统性的规定。Amazon和Perplexity的官司打下去，美国法院的判决会成为最早的参照系之一。在那之前，个案只能靠个案去趟。监管层面也是如此——现有的金融监管框架是给金融机构设计的，不是给AI服务商设计的，这条规则空白不会自己消失。

技术层面。光靠协议不够，还要靠代码来执行这个限制。TEE 硬件隔离是其中一种方案，但还有一个更大的方向值得重视：区块链。区块链的核心特性是去中心化存储——数据不集中在一个服务器上，而是分散在多个节点，任何单点被攻破都不会导致大规模泄露。把这个特性用到AI支付场景里，用户的支付凭证可以存在链上，而不是存在AI服务商的数据库里。AI调取凭证时，私钥碎片在链上参与运算，但永远不会被完整提取出来暴露在内存里。这意味着即便是AI服务商本身，也无法单方面动用用户的资金。

技术层面和法律层面，在这个意义上是同一条路：都是在解决「谁来负责」的问题。法律靠追责体系，技术靠架构设计，两者最终指向同一个目标——让AI花出去的每一分钱，背后都有可追溯的责任人。

入口之后是什么

AI和购物、AI和支付之间那堵墙，迟早要被推倒，不是因为法院会判谁赢，而是因为趋势不会因为一份服务条款而逆转。

支付革命只是第一块多米诺骨牌。

当AI能替人类花钱，它就拿到了进入现实世界的通行证。接下来的场景不难想象：AI帮你谈薪资、替你做投资决策、参与供应链结算、在虚拟世界里购置数字资产。这些事情一旦发生，现行的民事法律体系、金融监管框架、数据权属概念，都会面临重构压力。

这不是危言耸听。每一代互联网的底层变革，都会催生一套全新的法律问题。PC时代有计算机犯罪，互联网时代有隐私侵权和平台责任，移动互联网时代有移动支付和金融科技监管——每一波浪潮里，法律人都不是旁观者，而是第一批冲进去搭规则的人。

Web3和AI的结合，是下一代互联网的主线。而曼昆律所专注的，正是这个新世界里正在发生的法律问题：稳定币与加密支付的合规路径、AI Agent的责任边界、智能合约的效力认定、Web3项目的监管归属。这些问题不会等到监管文件出台才有意义——它们现在就在发生。

为加密支付创新者打造的课程

正如文中所述，加密支付的竞争早已超越了技术范畴，进入了「金融+技术+合规+运营」的综合能力博弈阶段。

对于身处支付机构及跨境贸易决策者而言，看清趋势只是第一步，如何合规落地、如何规避黑灰产洗钱风险、如何设计高效的业务结构，或许将是决定项目生命周期的关键。

基于曼昆律师事务所在 Web3 法律实务领域的长期深耕，我们特别推出了

目前课程正处于早鸟价预约阶段，推荐在支付领域的创新引领者们报名参加。