Visa推出可信代理协议，提升自动化电商交易可信度

Visa提出可信代理协议（Trusted Agent Protocol），旨在代理式电商日益普及的背景下，帮助商家及其平台防护服务准确识别具有商业意图且已获授权的代理，并在不大幅改动现有架构的前提下，通过HTTP消息签名串联身份与支付流程。

该协议的设计出发点在于，代理式电商的自动化请求行为与普通用户的浏览模式存在明显差异。若仅依赖IP地址、请求频率或设备指纹等特征进行判断，商家或防护系统可能误将合法代理流量识别为爬虫或恶意行为，进而影响服务稳定性与交易成功率。Visa指出，随着人工智能驱动的流量在零售网站迅速增长，商家亟需一种能够识别可信代理、并保持对消费者身份与支付数据可见性的机制。

可信代理协议的信任架构包含三层签名，用于确认代理身份及交易数据的真实性。第一层是添加在HTTP消息头部的代理识别签名，依据网络安全标准RFC9421设计，代理使用私钥对请求进行签名，商家则通过公钥验证，确保请求确实来自受信任的代理。第二层为消费者识别对象，用于携带与代理签名关联的用户身份信息。第三层是代理支付容器，可包含付款承诺或交易摘要，两者均采用相同的签名机制和标识符对应，保障数据一致性与可验证性。

代理识别签名包含多个必要字段，例如请求的网址与路径、生成与过期时间、密钥编号、算法类型、随机标识符以及交互标签。任何字段被篡改或顺序错乱都将导致验证失败，这一设计使得整个交易过程可自动校验来源真实性，有效防止重放攻击或伪造请求进入商家系统。

协议设计了可公开获取的密钥机制，便于商家快速接入。Visa及其他支付网络将在固定网址提供验证公钥，商家只需根据密钥编号选取对应的公钥即可完成签名验证。商家还可基于代理的可信等级，提供更简化的页面展示或更顺畅的结账体验，同时降低将自动化代理误判为爬虫、黄牛或恶意流量的风险。

可信代理协议生态目前仍处于早期阶段，但以开放互通为发展方向。Visa与Cloudflare共同开发了初始版本规范，并邀请支付与电商领域的服务商提供反馈。该协议现阶段主要应用于Visa网络，未来计划与IETF、OpenID Foundation、EMVCo等标准组织协同推进，并与其他新兴协议如Agentic Commerce Protocol、x402保持兼容互通。