客户身份核验(KYC)定义了过去三十年的合规实践。全球每一家受监管机构都围绕"在客户进门之前必须知晓其身份"这一原则构建了基础设施。企业身份核验(KYB)则定义了随后的十年——将这一义务从自然人延伸至其背后的法人实体。这两套框架先后成为法律要求、行业惯例,最终演变为行业基准线。下一套框架正在成形。代理识别(KYA)——"Know Your Agent"——将定义金融犯罪合规的下一个时代。推动这一变化的并非潮流,而是缺少它,整个体系将无从治理。
合规三角正在变成四边形
整整一代人,行业的运营模型都呈三角形:KYC 负责客户层面,KYB 负责实体层面,交易筛查(KYT)作为持续监控层追踪资金在网络中的流动。这个三角形的每个顶点都有相应的工具、监管框架和合规团队内部明确的权责归属。当金融工作流中的参与方是人——或至少是人直接控制并可问责的系统——这套模型是有效的。
AI 代理打破了这一前提。今天,第三方 AI 代理在生产级合规工作流中安排支付、标记案件、起草可疑活动报告(SAR)叙述、并作出风险评分决策——而且往往在没有任何个人逐条审核的情况下直接执行。AI 代理既不是客户,也不是交易对手,但它是具有实质影响的行为主体。KYC、KYB 与 KYT 从未被设计来评估它。KYA 补上了这第四条边:它为任何在受监管环境中运行的自主 AI 代理提供了治理所必需的评估闭环。没有它,三角形就缺了一个无法忽视的缺口。
为何是现在
三股力量在 2025 年同时汇聚,使 KYA 从理论命题变为紧迫现实。第一,模型迭代速度:头部 AI 实验室在十八个月内释放的能力超过此前五年的总和,合规科技厂商竞相将这些能力嵌入生产工具。第二,监管环境的跟进速度超出大多数人的预期。EU AI Act 为高风险 AI 系统引入了强制合规评估要求——而金融犯罪检测被明确列为高风险场景。新加坡金管局(MAS)的 FEAT 原则为金融服务领域的算法决策设定了公平性与问责性标准。新加坡资讯通信媒体发展局(IMDA)的 AI 治理框架将可解释性从设计偏好提升为运营要求。几乎所有对金融服务拥有管辖权的主要监管机构,都已出台或正在落地要求机构说明其自动化系统如何作出决策的框架。
第三,也是最为直接的现实:内部 AI 部署的速度几乎在每一家机构都已超越治理能力。那些在 2023 年还在评估 AI 试点的合规团队,如今已有三到四个第三方 AI 代理在生产环境中运行。负责反洗钱和欺诈治理的团队,往往并不掌握哪些代理正在运行、它们访问哪些数据、或它们被授权自主作出哪些决策的准确信息。这早已不是未来的问题——监管机构在审查 AI 辅助的 SAR 申报时,已经在追问人工决策节点在哪里,而机构正在为此苦于应答。
"在有人想到我们的治理框架是否覆盖自主 AI 代理之前,我们已经有四家 AI 厂商在合规系统中上线运行了。KYA 不是可有可无的——它是让我们其余 AI 投资具备可辩护性的缺失环节。"
—— 首席合规官,东南亚某一级数字银行
未来 24 个月的走向
KYA 工具将在 2027 年底前成为采购的标准要求。今天正在筛选反洗钱或欺诈供应商的机构,已经开始询问这些供应商能否提供代理层面的文档——能力说明书、训练数据溯源、决策审计轨迹以及模型漂移监控承诺。这一问题将在两个采购周期内从可选尽调项目晋升为强制招标条件。与此同时,监管机构将把代理清单纳入监管检查的标准内容。机构能够按需提供其合规系统中每一个 AI 代理的完整登记册——含版本历史和人工监督节点记录——这一预期将比大多数合规团队目前的规划来得更快。
组织架构的影响同样不容忽视。AI 合规官将于 2026 年底前作为标准职位出现在受监管金融机构的组织图中——有别于首席信息安全官(CISO)和传统首席合规官(CCO),专门负责 AI 治理框架、代理评估以及合规系统中的模型风险政策。与此同时,审计与认证市场也将随之演进:针对合规 AI 代理的 SOC2 同等级认证将作为商业现实落地,为机构提供评估和复核所部署代理的标准化路径。现在就建立 KYA 实践的机构,将比等待标准强制到来时再行动的机构,领先整整十八个月。
前瞻性合规团队正在做的事
- 建立代理清单。 第一步是摸清运行现状。领先的合规团队正在对其 KYC、反洗钱和欺诈工作流中运行的每一个 AI 或自动化决策系统开展结构化审计——记录每个代理的供应商、版本、数据访问范围、决策权限以及人工干预机制。
- 采用第三方 KYA 标准。 前瞻性机构要求 AI 合规供应商在上线前提供结构化的代理文档——能力卡片、偏差与漂移承诺,以及关于每个代理可自主决策范围的明确声明。WIDTH 的 KYA 框架将这些内容作为每次部署的标准组成部分提供。
- 将可回放与审计轨迹集成到每一个 AI 辅助决策中。 每一次警报处置、案件升级、AI 代理参与起草的 SAR,都必须携带不可篡改的审计轨迹——在决策发生时捕获模型版本、输入特征和置信度分数。可回放不仅是监管层面的安慰;它是合规团队在接受检查时,能够证明其 AI 辅助决策合理可信的核心机制。
WIDTH 正在构建使 KYA 得以落地运行的基础设施层。我们内嵌于 WIDTH 平台的 AI 合规官能力,提供代理层面的评估、持续行为监控,以及监管机构正在开始要求的审计架构。那些今天将 KYA 视为战略优先项的机构,在标准正式到来时不会手忙脚乱地补装治理体系——他们届时已经在运行了。