Hệ thống thanh toán cần phát triển như thế nào để phù hợp với Thương mại có Tác động Tự chủ

Bởi Ruston Miles, Nhà sáng lập kiêm Giám đốc Chiến lược & Phát triển, Bluefin.

Lớp trí tuệ cho các chuyên gia fintech suy nghĩ độc lập.

Thông tin tình báo nguồn chính. Phân tích gốc. Các bài viết đóng góp từ những người định hình ngành công nghiệp.

Được tin cậy bởi các chuyên gia tại JP Morgan, Coinbase, BlackRock, Klarna và nhiều hơn nữa.

Tham gia Vòng tròn Rõ ràng Hàng tuần về FinTech →

Thương mại đã bắt đầu vượt ra ngoài thanh toán bằng con người. Các đại lý AI đang tích cực tìm kiếm sản phẩm, so sánh các lựa chọn và khởi xướng mua hàng thay mặt người tiêu dùng và doanh nghiệp. Hoạt động qua tự động hóa trình duyệt, API và các lớp điều phối, các hệ thống này đang thực hiện các giao dịch đa bước với ngày càng nhiều tự chủ.

Phần mềm không còn chỉ hỗ trợ thương mại nữa. Nó đang trở thành một phần của luồng thanh toán.

Sự chuyển đổi này phơi bày một khoảng trống cấu trúc trong hệ sinh thái thanh toán. Các hệ thống tự trị hiện có thể đưa ra quyết định mua hàng mà không cần sự tham gia trực tiếp của con người, nhưng hạ tầng quản lý thanh toán vẫn giả định rằng có một người hiện diện tại thời điểm ủy quyền.

Các tiêu chuẩn như PCI DSS, quy tắc mạng lưới thẻ và hướng dẫn vận hành NACHA xác định vai trò của thương nhân, nhà phát hành, nhà chấp nhận và nhà cung cấp dịch vụ. Chúng không xác định cách nhận diện, ủy quyền hoặc kiểm soát phần mềm tự trị khi hoạt động thay mặt người dùng. Do đó, thương mại có đại diện đang tiến bộ nhanh hơn kiến trúc tin cậy được thiết kế để hỗ trợ nó.

Thương mại tự trị sẽ không bị giới hạn bởi đổi mới. Nó sẽ bị giới hạn bởi niềm tin. Mở rộng nó một cách an toàn sẽ đòi hỏi hạ tầng an ninh tính đến nhận dạng đại lý, quyền ủy quyền được phân quyền và thực thi kiểm soát khi máy móc khởi xướng các giao dịch.

Thương mại có đại diện Mở rộng Phạm vi Rủi ro

Khi các đại lý AI đảm nhận vai trò lớn hơn trong hoạt động mua hàng, mô hình đe dọa đằng sau thanh toán đang thay đổi căn bản. Các mẫu gian lận truyền thống tập trung vào việc đánh cắp thông tin đăng nhập và sử dụng thẻ trái phép, xảy ra trong một tương tác xác định giữa người và giao diện thanh toán.

Các giao dịch có đại diện hoạt động khác biệt. Một hệ thống AI có thể giữ quyền ủy quyền được phân quyền cho phép nó hoạt động liên tục thay mặt người tiêu dùng hoặc doanh nghiệp. Thay vì xác thực một lần, đại lý có thể đánh giá, quyết định và thực thi qua nhiều giao dịch và môi trường mà không bị gián đoạn.

Điều này nâng cao phạm vi tấn công lên kiến trúc hệ thống. Việc xâm phạm một lớp điều phối không còn chỉ ảnh hưởng đến một giao dịch đơn lẻ. Nó có thể tác động đến toàn bộ dòng hoạt động mua hàng. Đồng thời, tự động hóa thay đổi tốc độ của hoạt động tài chính. Các hệ thống AI hoạt động không do dự, thực hiện thanh toán với tốc độ và quy mô mà con người không thể sánh kịp.

Các mối đe dọa mới nổi phản ánh sự chuyển đổi này. Kẻ tấn công đang thử nghiệm ủy quyền tổng hợp giả mạo, tạo ra các luồng ủy quyền giả mạo, cũng như các kỹ thuật chèn lệnh nhắc nhở thao túng quá trình ra quyết định của đại lý. Trong các kịch bản này, mục tiêu không còn là một thông tin đăng nhập đơn lẻ nữa, mà là môi trường mà đại lý hoạt động.

Khi các động thái này phát triển, quá trình thanh toán bắt đầu biến mất như một sự kiện riêng biệt. Nó trở thành một quyền liên tục được cấp cho phần mềm, hoạt động liên tục trong phạm vi xác định hoặc không xác định.

Xây dựng các giới hạn cho Thương mại Tự trị

Thương mại có đại diện đòi hỏi hạ tầng được thiết kế rõ ràng cho các tác nhân tự trị. Khi các hệ thống AI bắt đầu khởi xướng các giao dịch, kiến trúc an ninh thanh toán phải phát triển để phản ánh cách các hệ thống này hoạt động và cách quyền hạn của chúng được xác định, giới hạn và thực thi.

Việc thiết lập các giới hạn này sẽ quyết định liệu thương mại tự trị có thể mở rộng một cách an toàn hay không. Các nguyên tắc thiết kế sau đây đại diện cho các kiểm soát nền tảng cho bất kỳ môi trường nào nơi phần mềm được ủy quyền để giao dịch.

1. Xác định Ranh giới cho Quyền ủy quyền được phân quyền

Khi người tiêu dùng hoặc doanh nghiệp ủy quyền mua hàng cho một đại lý AI, quyền hạn đó phải tồn tại trong giới hạn rõ ràng được thực thi. Nếu không có các giới hạn rõ ràng, phần mềm có thể hoạt động với nhiều tự do hơn mong muốn, làm tăng rủi ro tài chính và vận hành.

Các tổ chức nên triển khai khung quyền hạn có cấu trúc để quản lý cách các đại lý hành động. Giới hạn chi tiêu có thể hạn chế rủi ro tài chính. Các kiểm soát danh mục thương nhân có thể giới hạn hoạt động trong các bối cảnh được phê duyệt. Các quyền hạn theo thời gian đảm bảo quyền ủy quyền hết hạn tự động khi không còn cần thiết.

Các cơ chế thu hồi quyền hạn trong thời gian thực cũng rất quan trọng, cho phép rút quyền ngay lập tức nếu phát hiện hành vi bất thường. Trong môi trường mà các đại lý hoạt động liên tục, kiểm soát cũng phải liên tục. Những biện pháp này ngăn chặn quyền truy cập được ủy quyền mở rộng quá phạm vi dự kiến và giúp kiểm soát việc lạm dụng trước khi nó lan rộng qua nhiều giao dịch.

2. Thiết lập danh tính có thể xác minh cho các đại lý AI

Hệ sinh thái thanh toán được thiết kế để xác thực con người và tổ chức. Thương mại có đại diện giới thiệu một thành viên mới: phần mềm tự trị hoạt động dưới quyền ủy quyền.

Để các hệ thống này hoạt động an toàn, các đại lý AI phải có danh tính có thể xác minh, liên kết bằng mã hóa chặt chẽ các hành động của chúng với một người hoặc tổ chức chủ quyền được ủy quyền. Lớp danh tính này thiết lập chuỗi ủy quyền rõ ràng cho mỗi giao dịch.

Khi có câu hỏi, chuỗi này cho phép các nhà điều tra truy vết cách quyền hạn được cấp, cách nó được thực thi và nơi xảy ra sự cố. Mức độ phân bổ trách nhiệm và trách nhiệm này trở nên thiết yếu khi phần mềm chuyển từ hỗ trợ các giao dịch sang khởi xướng chúng.

3. Tách biệt Quyết định của AI khỏi Thực thi Thanh toán

Một trong những yêu cầu kiến trúc quan trọng nhất trong thương mại có đại diện là sự tách biệt giữa quyết định và thực thi.

Các hệ thống AI có thể xác định những gì cần mua và khi nào. Việc thực thi thanh toán đó nên diễn ra trong một lớp hạ tầng an toàn, chuyên biệt dành cho xử lý giao dịch an toàn. Điều này đảm bảo rằng các mô hình AI không bao giờ trực tiếp tương tác với thông tin đăng nhập thanh toán thô.

Thay vào đó, đại lý cung cấp ý định, trong khi một lớp thực thi an toàn thực hiện giao dịch.

Sự tách biệt này đã có thể đạt được ngày nay thông qua các mô hình hạ tầng ưu tiên an ninh, cô lập việc thực thi thanh toán khỏi các hệ thống bên ngoài trong khi cho phép các lớp điều phối hoạt động độc lập. Các công nghệ như token hóa và mã hóa điểm-đến-điểm không còn chỉ là công cụ tuân thủ nữa. Chúng hình thành mặt phẳng kiểm soát để bảo vệ dữ liệu thanh toán nhạy cảm trong môi trường tự động.

Khi thương mại có đại diện phát triển, các biện pháp bảo vệ này phải mở rộng một cách liền mạc vào các hệ thống nơi phần mềm tự trị tích cực tham gia vào các quyết định mua hàng.

4. Bảo vệ Lớp Điều phối

Trong các môi trường tự động, lớp điều phối trở thành ranh giới vận hành mới cho an ninh thanh toán. Lớp này quản lý cách các đại lý AI thu thập dữ liệu, đưa ra quyết định và khởi xướng các giao dịch.

Vì các hệ thống điều phối hướng dẫn hành vi tự trị, chúng phải hoạt động dưới sự kiểm soát chính sách nghiêm ngặt và giám sát liên tục. Các giới hạn cần xác định rõ những gì các đại lý được phép làm, trong khi các dữ liệu theo dõi cung cấp khả năng quan sát theo thời gian thực về cách các hành động đó được thực hiện.

Khả năng kiểm tra là điều tối quan trọng. Mọi hành động do máy khởi xướng đều phải tạo ra một bản ghi có thể truy vết, giúp tổ chức tái tạo các đường dẫn quyết định và xác định các bất thường khi có vấn đề phát sinh.

Nếu không có mức độ giám sát này, các lớp điều phối có nguy cơ trở thành các điểm kiểm soát mập mờ trong luồng thanh toán. Với nó, chúng trở thành các hệ thống tin cậy có thể thực thi và quan sát được.

Chuẩn bị Hệ sinh thái Thanh toán cho Giao dịch Tự trị

Thương mại có đại diện đại diện cho một sự thay đổi căn bản trong cách các giao dịch được khởi xướng. Trong nhiều thập kỷ, hệ thống thanh toán được thiết kế dựa trên các tương tác giữa con người và giao diện thanh toán. Khi các hệ thống dựa trên phần mềm bắt đầu tham gia trực tiếp vào các quy trình đó, các giả định dựa trên mô hình cũ không còn đủ nữa.

Chuyển đổi này sẽ đòi hỏi nhiều hơn là các cập nhật nhỏ vào các kiểm soát hiện có. Hạ tầng thanh toán, khung nhận dạng và các cơ chế giám sát phải phát triển để hỗ trợ các môi trường nơi phần mềm hoạt động dưới quyền ủy quyền và hành động liên tục trong các hệ thống kỹ thuật số.

Tốc độ đổi mới dựa trên AI sẽ tiếp tục tăng tốc. Yếu tố giới hạn không phải là khả năng, mà là niềm tin.

Trong môi trường có đại diện, niềm tin không thể được thực thi ở biên của giao dịch hoặc áp dụng như một kiểm soát bên ngoài. Nó phải được tích hợp trực tiếp trong hạ tầng thực thi.

Thanh toán không còn chỉ là chuyển tiền nữa. Chúng đang trở thành hệ thống xác định ai hoặc cái gì được phép hành động.