Amazon Bedrock AgentCore 支付功能预览：为 AI Agent 提供安全内置护栏，防止失控消费

一句话看懂

AWS 推出 AgentCore 支付预览版，与 Coinbase 和 Stripe 合作，为 AI Agent 提供内置安全护栏，防止失控消费、密钥泄露等风险。

详细发生了什么

Amazon Bedrock AgentCore 支付功能（预览版）允许 AI Agent 代表终端用户访问付费资源，完成需要支付的复杂任务。该功能与 Coinbase Developer Platform (CDP) 和 Stripe Privy 合作，使用嵌入式自托管钱包，用户先充值再授权 Agent 消费。

文章重点分析了 Agent 支付面临的四大风险：

失控消费：Agent 长期自主运行，可能因提示注入或模型非确定性导致重复支付或超支。
用户授权缺失：Agent 需要明确的、可撤销的权限，而非一次性授权。
密钥泄露：开发者凭证和用户钱包密钥若存储在 Agent 代码中，被攻破后风险极大。
支付工具暴露：信用卡号等敏感信息不应进入 Agent 上下文，否则扩大 PCI 合规范围。

AgentCore 支付通过基础设施层的护栏解决这些问题：

支付会话：每个交互有独立预算和 TTL，超出即拒绝，且失败交易回滚预算。
用户控制：充值（钱包提供商门户）和授权（Spend Permissions/Delegated Actions）分离，用户可随时撤销。
凭证管理：使用 AgentCore Identity 和 Secrets Manager 存储密钥，Agent 代码不直接接触。
审计日志：自动记录每笔交易的 Agent、用户、限额和商户信息。

目前预览版支持美东、美西、法兰克福和悉尼区域。

中文圈视角

对国内开发者而言，该功能目前依赖 Coinbase 和 Stripe，需要海外支付牌照和钱包基础设施，直接使用门槛较高。但其中设计思路值得借鉴：

预算控制：国内 Agent 平台（如百度千帆、阿里百炼）可参考“支付会话”模式，为每个任务设置独立预算和 TTL，防止 Agent 循环调用付费 API。
用户授权分离：国内支付场景（微信支付、支付宝）可类似实现“充值”和“授权”两步，用户先充值到托管钱包，再授权 Agent 在限额内消费。
密钥管理：国内云厂商（阿里云、腾讯云）的 Secrets Manager 可集成 Agent 框架，避免 API Key 硬编码。

一个盲点是：国内 Agent 支付还处于早期，多数 Agent 仅调用免费 API。随着 MCP 协议和付费工具增多，类似护栏将成为刚需。合规方面，数据出境和支付牌照是主要障碍，但纯国内场景（如企业内部报销 Agent）可先行落地。

几条值得记住的细节

支付会话支持配置最大消费金额（指定货币）和过期时间，超限自动拒绝。
失败交易会回滚预算扣除，不浪费额度。
用户充值在钱包提供商门户完成，Agent 无 API 可访问，确保资金安全。
开发者凭证通过 AgentCore Identity 和 Secrets Manager 管理，Agent 代码不直接处理。
审计日志自动生成，记录 Agent、用户、限额和商户信息，便于事后追溯。

一句话总结

Agent 支付必须将安全护栏内置在基础设施层，而非依赖模型自身，才能防止失控消费和密钥泄露。