客戶身份核驗(KYC)定義了過去三十年的合規實踐。全球每一家受監管機構都圍繞"在客戶進門之前必須知曉其身份"這一原則構建了基礎設施。企業身份核驗(KYB)則定義了隨後的十年——將這一義務從自然人延伸至其背後的法人實體。這兩套框架先後成為法律要求、行業慣例,最終演變為行業基準線。下一套框架正在成形。代理識別(KYA)——"Know Your Agent"——將定義金融犯罪合規的下一個時代。推動這一變化的並非潮流,而是缺少它,整個體系將無從治理。
合規三角正在變成四邊形
整整一代人,行業的運營模型都呈三角形:KYC 負責客戶層面,KYB 負責實體層面,交易篩查(KYT)作為持續監控層追蹤資金在網絡中的流動。這個三角形的每個頂點都有相應的工具、監管框架和合規團隊內部明確的權責歸屬。當金融工作流中的參與方是人——或至少是人直接控制並可問責的系統——這套模型是有效的。
AI 代理打破了這一前提。今天,第三方 AI 代理在生產級合規工作流中安排支付、標記案件、起草可疑活動報告(SAR)敘述、並作出風險評分決策——而且往往在沒有任何個人逐條稽核的情況下直接執行。AI 代理既不是客戶,也不是交易對手,但它是具有實質影響的行為主體。KYC、KYB 與 KYT 從未被設計來評估它。KYA 補上了這第四條邊:它為任何在受監管環境中執行的自主 AI 代理提供了治理所必需的評估閉環。沒有它,三角形就缺了一個無法忽視的缺口。
為何是現在
三股力量在 2025 年同時匯聚,使 KYA 從理論命題變為緊迫現實。第一,模型迭代速度:頭部 AI 實驗室在十八個月內釋放的能力超過此前五年的總和,合規科技廠商競相將這些能力嵌入生產工具。第二,監管環境的跟進速度超出大多數人的預期。EU AI Act 為高風險 AI 系統引入了強制合規評估要求——而金融犯罪檢測被明確列為高風險場景。新加坡金管局(MAS)的 FEAT 原則為金融服務領域的算法決策設定了公平性與問責性標準。新加坡資訊通訊媒體發展局(IMDA)的 AI 治理框架將可解釋性從設計偏好提升為運營要求。幾乎所有對金融服務擁有管轄權的主要監管機構,都已出臺或正在落地要求機構說明其自動化系統如何作出決策的框架。
第三,也是最為直接的現實:內部 AI 部署的速度幾乎在每一家機構都已超越治理能力。那些在 2023 年還在評估 AI 試點的合規團隊,如今已有三到四個第三方 AI 代理在生產環境中執行。負責反洗錢和欺詐治理的團隊,往往並不掌握哪些代理正在執行、它們訪問哪些資料、或它們被授權自主作出哪些決策的準確資訊。這早已不是未來的問題——監管機構在審查 AI 輔助的 SAR 申報時,已經在追問人工決策節點在哪裡,而機構正在為此苦於應答。
"在有人想到我們的治理框架是否覆蓋自主 AI 代理之前,我們已經有四家 AI 廠商在合規系統中上線執行了。KYA 不是可有可無的——它是讓我們其餘 AI 投資具備可辯護性的缺失環節。"
—— 首席合規官,東南亞某一級數字銀行
未來 24 個月的走向
KYA 工具將在 2027 年底前成為採購的標準要求。今天正在篩選反洗錢或欺詐供應商的機構,已經開始詢問這些供應商能否提供代理層面的文件——能力說明書、訓練資料溯源、決策審計軌跡以及模型漂移監控承諾。這一問題將在兩個採購週期內從可選盡調專案晉升為強制招標條件。與此同時,監管機構將把代理清單納入監管檢查的標準內容。機構能夠按需提供其合規系統中每一個 AI 代理的完整登記冊——含版本歷史和人工監督節點記錄——這一預期將比大多數合規團隊目前的規劃來得更快。
組織架構的影響同樣不容忽視。AI 合規官將於 2026 年底前作為標準職位出現在受監管金融機構的組織圖中——有別於首席資訊保安官(CISO)和傳統首席合規官(CCO),專門負責 AI 治理框架、代理評估以及合規系統中的模型風險政策。與此同時,審計與認證市場也將隨之演進:針對合規 AI 代理的 SOC2 同等級認證將作為商業現實落地,為機構提供評估和複核所部署代理的標準化路徑。現在就建立 KYA 實踐的機構,將比等待標準強制到來時再行動的機構,領先整整十八個月。
前瞻性合規團隊正在做的事
- 建立代理清單。 第一步是摸清執行現狀。領先的合規團隊正在對其 KYC、反洗錢和欺詐工作流中執行的每一個 AI 或自動化決策系統開展結構化審計——記錄每個代理的供應商、版本、資料訪問範圍、決策許可權以及人工干預機制。
- 採用第三方 KYA 標準。 前瞻性機構要求 AI 合規供應商在上線前提供結構化的代理文件——能力卡片、偏差與漂移承諾,以及關於每個代理可自主決策範圍的明確宣告。WIDTH 的 KYA 框架將這些內容作為每次部署的標準組成部分提供。
- 將可回放與審計軌跡整合到每一個 AI 輔助決策中。 每一次警報處置、案件升級、AI 代理參與起草的 SAR,都必須攜帶不可篡改的審計軌跡——在決策發生時捕獲模型版本、輸入特徵和置信度分數。可回放不僅是監管層面的安慰;它是合規團隊在接受檢查時,能夠證明其 AI 輔助決策合理可信的核心機制。
WIDTH 正在構建使 KYA 得以落地執行的基礎設施層。我們內嵌於 WIDTH 平台的 AI 合規官能力,提供代理層面的評估、持續行為監控,以及監管機構正在開始要求的審計架構。那些今天將 KYA 視為戰略優先項的機構,在標準正式到來時不會手忙腳亂地補裝治理體系——他們屆時已經在執行了。