Почему нужны новые правила для платежей через агентов

Автономные покупательские агенты могут сравнивать цены и оформлять покупки, но когда агент приобретает подписку за $499 вместо $49, возникает много вопросов: действительно ли пользователь уполномочил покупку, соответствовала ли операция намерению пользователя и кто несёт ответственность при ошибке. Эти неопределённости блокируют агентную оплату на текущих платёжных рельсах.

Что такое AP2 и какие задачи решает

Agent Payments Protocol (AP2) от Google — открытая, нейтральная спецификация, добавляющая криптографически проверяемое подтверждение намерения пользователя к платежам, инициированным агентами. AP2 задаёт общий язык для взаимодействия агентов, продавцов и платёжных процессоров, расширяя существующие протоколы (A2A и MCP) для формализации данных, подписей и потоков сообщений по сегментам intent → cart → payment.

Версифицируемые удостоверения и типы мандатов

AP2 использует Verifiable Credentials (VC) — криптографически подписанные объекты — для передачи доказательств в транзакции. Спецификация выделяет три типа мандатов:

• Intent Mandate (человек не присутствует): подписанный пользователем документ с ограничениями, при которых агент может совершать покупки (бренды, категории, ценовые лимиты, временные окна).
• Cart Mandate (человек присутствует): подписанная продавцом корзина, к которой привязано явное одобрение пользователя, что даёт непреложное доказательство «что вы видели — то и оплатили».
• Payment Mandate: метаданные для сетей и эмитентов, указывающие на участие агента и контекст риска (human-present vs human-not-present).

Эти удостоверения создают трассируемую цепочку доказательств, связывающую полномочия пользователя с запросом на списание.

Роли, границы доверия и приватность

AP2 описывает разделение ролей для минимизации утечек данных:

• Пользователь делегирует задачу агенту.
• Шоппинг-агент ведёт переговоры с продавцами и собирает подтверждения.
• Провайдер удостоверений (кошелёк) хранит методы оплаты и выпускает артефакты, специфичные для метода.
• Точка доступа продавца предоставляет каталог и подписывает корзины.
• Платёжный процессор продавца формирует объект авторизации для сети.
• Сеть и эмитент оценивают и авторизуют платёж.

Чувствительные данные (PAN, токены) остаются у провайдера удостоверений и не идут через общие агентные интерфейсы. Мандаты подписаны проверяемыми идентичностями и могут передавать сигналы риска без раскрытия полных учётных данных.

Потоки: человек присутствует vs не присутствует

AP2 задаёт тестируемые потоки:

• Human-present: продавец подписывает финальную корзину; пользователь в доверенном интерфейсе её утверждает и формирует Cart Mandate. Процессор отправляет сетевую авторизацию вместе с Payment Mandate; при необходимости step-up (например, 3DS) выполняется на доверенной поверхности.

• Human-not-present: пользователь заранее подписывает Intent Mandate (например, ‘купить, если цена упадёт ниже $100’); агент преобразует его в Cart Mandate, когда условия выполнены, либо продавец требует повторного подтверждения.

Такие потоки упрощают распределение ответственности и снижают споры на основе вывода модели.

Интеграция с A2A и MCP, охват платёжных методов

AP2 расширяет A2A для межагентного обмена и работает совместно с MCP для доступа к инструментам. AP2 стандартизирует слой платежей — объекты мандатов, подписи и сигналы ответственности — оставляя сотрудничество и вызов инструментов A2A/MCP.

Протокол не зависит от конкретного метода оплаты. В первом этапе фокус на pull-инструментах (кредитные/дебетовые карты), в планах — поддержка push-переводов (UPI, PIX) и цифровых активов. Для web3 Google и партнёры выпустили расширение A2A x402 для агентных криптоплатежей в рамках конструкций мандатов AP2.

Для разработчиков

Google опубликовал репозиторий под Apache-2.0 с документацией, типами Python и примерами. Примеры демонстрируют human-present card flows, вариант x402 и Android-решения для цифровых платёжных удостоверений, показывая, как выпускать/проверять мандаты и переходить от переговоров агента к сетевой авторизации. Основные объекты доступны в src/ap2/types. AP2 независим от фреймворка; любую стек-архитектуру агента можно адаптировать для генерации и проверки мандатов.

Споры, детерминизм и крайние случаи

AP2 отдаёт преимущество детерминизму: продавец получает криптографические доказательства того, что пользователь одобрил корзину или предварительно санкционировал действие, а не интерпретированные моделью резюме. Цепочка удостоверений служит доказательной базой для сетей и эмитентов; ответственность присваивается на основании того, какой мандат и кем был подписан. Эмитент или продавец могут инициировать step-up, который должен пройти на доверенной поверхности и быть связан с треком мандатов. В сценариях с несколькими агентами A2A координирует задачи, а AP2 гарантирует подпись каждой корзины продавцом и авторизацию пользователем перед платёжной отправкой.

Экосистема и дальнейшие шаги

Google указывает на сотрудничество с более чем 60 организациями — сетями, эмитентами, шлюзами и поставщиками технологий (American Express, Mastercard, PayPal, Coinbase, Adyen и др.). Цель — избежать разрозненных интеграций, согласовав семантику мандатов и сигналы ответственности. Команда AP2 продолжит развивать спецификацию открыто, расширять референсные реализации и углублять интеграции с сетями и web3, а также синхронизировать форматы VC и идентичностные примитивы со стандартами. Разработчики могут начать уже сейчас: запускать примеры из GitHub, интегрировать типы мандатов и проверять потоки с их агент/мерчант-стеками.

Практический итог

AP2 даёт криптографически обоснованную следу доказательств, связывающую авторизацию пользователя с подписанными продавцом корзинами и сетевыми запросами — без привязки к единому стеку или методу оплаты. Для масштабирования агентной коммерции такой уровень проверяемой ответственности необходим.

Репозиторий и ресурсы:

• https://github.com/google-agentic-commerce/AP2