Visa推可信代理協定，以HTTP簽章串接身分與支付流程

Visa提出可信代理協定（Trusted Agent Protocol），目標是在代理式電商逐漸普及時，讓商家與其站臺防護服務能可靠辨識具有商務意圖且已核准的代理，並在不大改既有架構的前提下，透過HTTP訊息簽章串接身分與支付流程。

這套協定的設計出發點在於，代理式電商的自動化請求行為與一般使用者的瀏覽模式明顯不同，要是僅依據IP、請求頻率或指紋特徵進行判斷，商家或防護系統可能誤將合法代理流量視為爬蟲或惡意行為，進而影響服務穩定與交易成功率。Visa指出，隨著人工智慧驅動流量在零售網站急遽成長，商家需要能辨識可信任代理、維持對消費者身分與支付資料可見度的機制。

可信代理協定的信任架構分為3層簽章，用來確認代理的身分與交易資料的真實性。第一層是加在HTTP訊息標頭的代理識別簽章，根據網路安全標準RFC9421設計，代理會用私鑰簽署請求，商家則以公開金鑰驗證，確保請求確實來自受信任的代理。第二層為消費者識別物件，用來攜帶與代理簽章相連的顧客識別資料。第三層則是代理支付容器，可包含付款承諾或交易摘要，兩者皆以相同簽章機制與識別碼對應，確保資料一致與可驗證。

代理識別簽章包含幾個必要欄位，例如請求的網址與路徑、建立與到期時間、金鑰代號、演算法、隨機識別碼以及互動標籤。任何欄位被改動或順序錯亂，驗證就會失敗，此設計讓整個交易過程能自動檢查來源真實性，防止重播或偽造的請求進入商家系統。

協定設計了可公開取得的金鑰機制，讓商家更容易導入。Visa與其他支付網路會在固定網址提供驗證金鑰，商家只需依金鑰代號選取對應的公開金鑰，就能完成簽章驗證。商家也能依據代理的可信度，提供更簡化的頁面或更順暢的結帳體驗，同時降低誤將自動化代理誤認為爬蟲、黃牛或惡意流量的風險。

可信代理協定的生態系目前仍在早期階段，但以開放互通為發展方向。Visa與Cloudflare共同開發初版規格，並邀集支付與電商領域的服務供應商提供回饋。協定現階段主要應用於Visa網路，但目標是與IETF、OpenID Foundation、EMVCo等標準組織同步，未來也將與其他新興協定如Agentic Commerce Protocol、x402保持互通。