AI代理人開始動用錢包自購！企業審計、責任與保險體系被迫追趕

・ 2026 年 05 月 17 日

AWS 與 Google 連續推動代理人自主付款，審計、採購與保險規範仍有重大缺口。

兩起關鍵公告在短短一週內，改變了企業面對AI代理人的風景。5月7日，AWS 預覽了 Amazon Bedrock 的 AgentCore Payments（與 Coinbase、Stripe 合作），允許代理人在會話層級設定支出上限後，自動為 API、伺服器、網頁內容乃至其他代理人付款；5月14日，Google 附屬的 Gemini Spark 測試畫面外洩，明確警示代理「可能會在未詢問下分享資訊或購買」。這表示AI從建議購買跨越到替使用者完成交易——而企業原有的治理、稽核與保險框架尚未追上。

背景與技術細節： - AgentCore Payments 採用 x402 協定（將 HTTP 402 作為機器對機器付款通道），支援 Coinbase CDP 或 Stripe Privy 錢包、在 Base 上以穩定幣結算、並在不破壞代理推理流程下交付付款證明。預覽版覆蓋四個 AWS 區域，並整合 Coinbase x402 Bazaar MCP 伺服器，開放超過一萬個付費端點供代理搜尋與即時付費。 - Google 的 Gemini Spark 則整合瀏覽、行事曆、地點與「Personal Intelligence」，可在背景自動處理收件匣清理、會議摘要與網上任務；實驗層級會允許未經詢問的購買行為。相對地，Anthropic 的 Claude Cowork 在政策層面封鎖自主購買，三大前沿廠商已朝可移動資金的代理前進，第四家則以限制為賣點。

事實、風險與案例： - 企業使用案例已出現：Warner Bros. Discovery 測試以代理存取付費內容（如直播體育），Heurist AI 正構建能替使用者做財務分析並下單的研究代理。 - 控制缺口：AgentCore 提供「會話層級支出上限」，但此類上限只限制單次或單會話的即時損失，無法防止攻擊者以多次小額呼叫（例如被誘導執行200次微支付）耗盡錢包。這種場景類似2008年的分散性小額詐欺，但在機器速度下更具破壞力。 - Prompt injection（提示注入）是核心風險。Anthropic 自述在內部測試中約有 1% 成功率的提示注入樣本；當那 1% 在毫秒級被重複利用、且代理擁有錢包存取權時，失敗模式將從資料外洩轉為資金移動。

法規與審計現況： - 法律音速推進：加州 AB 316（2026/01/01 生效）阻絕「AI 自行造成」的免責說法；科羅拉多 AI 法（2026/06 生效）要求高風險系統年檢；EU AI Act 的通用與消費者透明義務自 2026/08/02 起擴大適用。 - 但審計與保險尚未對應：SOC 2 與 ISO 27001 偏向將敏感行為追溯至個人帳戶，無人或代理發起的金融交易會被視為賬責缺口；保險公司已在續保問卷中加 AI 附件，要求治理證據，而多數 SOC 2 報告未涵蓋此類代理行為。

對立觀點與駁斥：廠商強調「生產力解鎖」——代理人可自動執行繁瑣採購，提升效率。但從 CXO 與風險管理視角看，效率提升若無配套的身分管理、採購政策與審計痕跡，將把企業暴露於新的財務與法遵風險。等待首起公開事故才改政策，成本遠高於事先修法與內控。

可行行動與展望： 1) 把每個可動用資金的代理視為身分管理物件，納入身份目錄與許可權治理（NIST 草案預估到 2026 年底非人身分將超過 450 億，但僅約 10% 組織有管理策略）。 2) 修訂採購與應付政策，允許或限制軟體作為買方的流程、核可鏈與憑證方式，事先界定支出範圍與例外程式。 3) 重新評估供應商的 SOC 2/ISO 覆蓋內容，確認審計期與控制語言是否涵蓋「無人幹預」交易。與保險公司協商 AI 相關條款與證據標準。

結論：本週的技術演進把 AI 代理從「建議」推向「行動」，伴隨實際資金流動。企業應立即把代理列入風險管理與採購控制清單，更新審計檢查點並與保險、法務及供應商協同，否則下個財務衝擊很可能由一個被誘導的代理觸發。