Visa 把它的支付網絡接入了 ChatGPT,這樣一個 AI agent 可以自己完成最後一步:不只是把一個產品擺出來,而是把它買下來,在參與的商家處,最後一擊無需人類。據該報導,安全模型是程序化令牌化。你預先用消費參數授權 ChatGPT 環境;然後,當 agent 決定購買時,它通過 Visa 網絡生成一個一次性支付令牌,經 API 傳給商家後端。報導描述它的行為完全像一筆標準數字錢包付款,只是可視結帳被完全去掉。卡號從不傳輸;一個一次性令牌代之傳輸。
商家這一側是 builders 會從本週早些時候認出來的部分。agent 不看店面。它評估機器可讀的庫存和明確格式化的產品屬性,純數據而非視覺陳列,並能跨多個賣家完成結帳。這就是 WebMCP 為瀏覽器操作引入的同一種 agent-可讀-web 形態,對準了商業:商店變成給 agent 的一個帶型別的數據表面,而不是給人看的頁面。Visa 把自己的網絡定位為最終的驗證層,在傳入的令牌請求清算之前對其運行欺詐檢測模型。
這件事今天值得報導、而非當作一樁例行合作的原因,是日曆。它落地的這一天,正好有一份 OWASP 報告把 prompt injection 命名為 agentic AI 的頭號生產失敗模式,而 Visa 的文章本身承認 prompt injection 可能操縱一個 agent 去向一個惡意賣家購買。把它映射到今早報導裡的致命三角:一個持有支付憑證(對價值的訪問)、讀取不可信的商家和網絡數據(不可信內容)、並能執行交易(一個對外動作)的 agent,就是被點亮的完整三角。與通常版本的區別只在於被外洩的是什麼。這裡是你的錢。一次性令牌和預設消費上限是真實的緩解,而且形態恰恰正確,它們像 Meta 的 Rule of Two 所規定的那樣限定爆炸半徑,但限定不是封死,而那個限定只和一個用戶想到要設的消費參數一樣好。
誠實的注意事項關於來源,而它很單薄。它沒有點名具體的 Visa 產品,儘管 Visa 一直在構建 agentic 商業基礎設施,所以把這個機制當作"據報導"而非一個被確認的具名產品;它沒有給出消費限額數字、商家規模、高管引語,也沒有清楚說明這是廣泛上線還是一個早期試點,所以"已部署"是報導的措辭,不是一個經核實的推出。更大的圖景很直接,而且是本週其餘一切的需求側鏡像:agentic 商業,即那個瀏覽、決定並付款的 agent,是整個行業奔向的產品,而其下一條令牌化的支付軌道,正是悄然到來、要把它變為現實的基礎設施。它也讓本週反覆出現的張力無法被抽象掉。能力發貨的速度快過用以遏制它的安全,而一個帶錢包的 agent 是這道鴻溝為何並非學術問題的最易讀圖解。要盯的是:當真正的攻擊者,而非文章裡理論上的那些,開始把 prompt injection 對準一個憑模型一句話就鑄造支付令牌的系統時,令牌限額和欺詐層是否撐得住。
