Visa 把它的支付网络接入了 ChatGPT,这样一个 AI agent 可以自己完成最后一步:不只是把一个产品摆出来,而是把它买下来,在参与的商家处,最后一击无需人类。据该报道,安全模型是程序化令牌化。你预先用消费参数授权 ChatGPT 环境;然后,当 agent 决定购买时,它通过 Visa 网络生成一个一次性支付令牌,经 API 传给商家后端。报道描述它的行为完全像一笔标准数字钱包付款,只是可视结账被完全去掉。卡号从不传输;一个一次性令牌代之传输。
商家这一侧是 builders 会从本周早些时候认出来的部分。agent 不看店面。它评估机器可读的库存和明确格式化的产品属性,纯数据而非视觉陈列,并能跨多个卖家完成结账。这就是 WebMCP 为浏览器操作引入的同一种 agent-可读-web 形态,对准了商业:商店变成给 agent 的一个带类型的数据表面,而不是给人看的页面。Visa 把自己的网络定位为最终的验证层,在传入的令牌请求清算之前对其运行欺诈检测模型。
这件事今天值得报道、而非当作一桩例行合作的原因,是日历。它落地的这一天,正好有一份 OWASP 报告把 prompt injection 命名为 agentic AI 的头号生产失败模式,而 Visa 的文章本身承认 prompt injection 可能操纵一个 agent 去向一个恶意卖家购买。把它映射到今早报道里的致命三角:一个持有支付凭证(对价值的访问)、读取不可信的商家和网络数据(不可信内容)、并能执行交易(一个对外动作)的 agent,就是被点亮的完整三角。与通常版本的区别只在于被外泄的是什么。这里是你的钱。一次性令牌和预设消费上限是真实的缓解,而且形态恰恰正确,它们像 Meta 的 Rule of Two 所规定的那样限定爆炸半径,但限定不是封死,而那个限定只和一个用户想到要设的消费参数一样好。
诚实的注意事项关于来源,而它很单薄。它没有点名具体的 Visa 产品,尽管 Visa 一直在构建 agentic 商业基础设施,所以把这个机制当作"据报道"而非一个被确认的具名产品;它没有给出消费限额数字、商家规模、高管引语,也没有清楚说明这是广泛上线还是一个早期试点,所以"已部署"是报道的措辞,不是一个经核实的推出。更大的图景很直接,而且是本周其余一切的需求侧镜像:agentic 商业,即那个浏览、决定并付款的 agent,是整个行业奔向的产品,而其下一条令牌化的支付轨道,正是悄然到来、要把它变为现实的基础设施。它也让本周反复出现的张力无法被抽象掉。能力发货的速度快过用以遏制它的安全,而一个带钱包的 agent 是这道鸿沟为何并非学术问题的最易读图解。要盯的是:当真正的攻击者,而非文章里理论上的那些,开始把 prompt injection 对准一个凭模型一句话就铸造支付令牌的系统时,令牌限额和欺诈层是否撑得住。
