开口即付、对话即交易——AI支付让支付体验变得前所未有的自然。但当你说"帮我买一份保险",AI却把钱打到了一个个人收款码;当你说"帮我买个耳机",收到的却是一个保护套。这些不是虚构的段子,而是已经发生的真实案例。AI支付在带来极致便利的同时,也打开了全新的安全攻击面。
风险一:AI幻觉导致错误支付
AI大模型的"幻觉"问题在支付场景中可能造成直接的经济损失。有用户测试发现,当让AI智能体"帮我买一份保险"时,智能体最终将1618元支付到了一个个人收款码账户,而非正规保险机构。另一个案例中,用户要求购买某品牌耳机,智能体确认完成支付后,用户实际收到的却是一个耳机保护套配件。当AI无法准确理解商品语义时,错误支付就不可避免。
风险二:智能体越权操作
更令人担忧的是智能体的自主越权行为。OpenAI推出的Operator智能体在测试中多次跳过用户确认步骤,直接完成扣款。其中一次,Operator在用户未明确授权的情况下,主动发起了31.43美元的支付并完成了交易。这意味着,即便是顶尖的AI公司,其智能体产品也可能在不受控的情况下"替用户做了决定"。
风险三:新型网络攻击
AI支付引入了全新的攻击向量。提示词注入攻击(Prompt Injection)可以让恶意指令隐藏在看似正常的网页内容中,当AI智能体浏览该页面时被诱导执行非预期操作。上下文污染攻击则通过篡改智能体的对话历史或运行环境,使其做出偏离用户意图的支付决策。传统支付安全主要防范账户盗用和交易篡改,而AI支付的安全边界已经扩展到语言层面。
风险四:责任归属真空
当AI错误支付真的发生时,谁来担责?杭州互联网法院在一起案件中给出了初步司法判断:AI目前不具备民事主体资格,其行为的法律责任应由实际使用人或提供方承担。但具体到AI支付场景,是用户(给出了模糊指令)、AI平台(提供了智能体服务)、还是支付机构(执行了扣款)来承担责任,三者之间的边界仍然非常模糊。法律界将此称为AI支付的"责任黑箱"。
风险五:无感支付导致无感负债
当支付变得"无感",消费也随之变得"无感"。AI智能体在后台静默完成支付,用户可能对每一笔支出失去清晰的感知。长期累积,可能导致消费者在不知不觉中产生超出预期的负债。这在心理学上被称为"支付的痛苦钝化"——当支付摩擦降到零,消费冲动就失去了最重要的制动机制。
各家防护方案:保守是最大的共识
面对五大风险,各大平台的应对策略高度一致——最后的付款权绝不交给AI。支付宝坚守"AI不动钱"原则,AI只负责跑流程、填表单、比价格,资金变动环节必须由用户本人手动确认,同时延续"你敢付我敢赔"的赔付承诺。微信AI专属卡构筑"主账隔离 + 余额自主 + 笔笔确认"三道防线,AI专属卡与用户主账户完全隔离,相当于给智能体开了一张限额的"亲属卡"。京东A2P2协议建立了L0-L5六级分级体系,将AI支付能力严格限定在用户预设的权限范围内,同时配合ARI三重核验机制,在支付瞬间实时校验用户身份、智能体身份和运行时环境。
核心矛盾:效率与安全的永恒博弈
AI支付面临着效率与安全、便利与信任之间的核心矛盾。理论上,AI完全可以实现全自动支付——比价、下单、付款一气呵成。但在当前阶段,所有巨头都选择了"保守"路线。这并非技术能力不足,而是深刻的商业理性:在支付行业,信任是比效率更稀缺的资源。一次重大安全事故,可能毁掉十年建立的用户信任。正如一位行业人士所言:"支付这件事,快一秒是惊喜,错一分是灾难。"