京东发A2P2协议：给AI花钱划了六个等级

京东A2P2：当AI开始自己掏钱包，谁来按下那个确认键

6月11日，京东扔出了一个有点意思的东西——Agent Autonomous Payment Protocol，简称A2P2，号称是国内第一个专门给智能体设计的自主支付协议。说白了，就是给AI花钱这件事立了规矩。

这事的背景其实不需要太多铺垫。过去一年多，从GPT到Claude再到国内一众Agent产品，大模型早就不满足于「帮你列个购物清单」这种活儿了。MCP、Computer Use、各种Agent框架满天飞，但所有玩家走到「下单付款」这一步，都会撞上同一堵墙：钱怎么扣？谁负责？出了事算谁的？OpenAI的Operator到现在还得让用户自己点确认，Anthropic的Computer Use演示里最尴尬的一幕也是支付环节人工接管。智能体能干的活越多，这堵墙就越显眼。

京东这次想做的，就是把这堵墙拆掉——但不是一脚踹烂，而是给它装上门、配上锁、发钥匙。

L0到L5：一套抄自动驾驶的分级逻辑

协议最先抓眼球的是分级。A2P2把智能体支付的自主程度切成了六档，这套思路看着眼熟——没错，就是自动驾驶L0到L5的那套打法。这个类比其实挺聪明，因为它一下子就把「AI自主性边界」这个抽象问题给具象化了。

• L0：每一笔都得人工确认，AI只是个跑腿的，跟现在主流的Agent购物没啥区别。
• L1-L2：AI开始能做一些预处理，但扣款依然卡在人这一关。
• L3：单次任务范围内AI可以自己发起支付请求，系统按用户预设的边界判断是否放行。
• L4：授权扩大，只要金额、场景、收款方都在预设范围里，AI可以连续自主完成支付。
• L5：完全放手，AI全权代理。

京东自己也很清楚，L5现阶段就是个理论终点，没人敢真上。所以协议重点啃的是中间那块最难也最实用的骨头——L3和L4。这两档对应的场景，恰好是现在Agent最想突破、用户也最纠结的灰色地带：让AI替我订花、订外卖、续会员、抢演唱会票，能不能不用我每次都盯着屏幕？

要我说，这个分级最大的价值不在技术层面，而在沟通层面。它给监管、给用户、给开发者提供了一套共同的话语体系。以后聊Agent支付，不用再扯一堆「半自主」「弱代理」「条件触发」的模糊词，直接说L3就够了。

任务委托凭证：把人话翻译成机器能审的合同

协议里最核心的技术抓手叫Mandate——任务委托凭证。这个东西要解决的问题，本质上是自然语言指令的不可验证性。

举个例子最直观。用户对Agent说：「用不超过200块钱给朋友订一束花。」

传统支付链路里，这句话到了系统层面就是一团模糊。低于200算多少？199.99算不算？带不带运费？买花顺手买个花瓶算不算？每个环节都是漏洞。

A2P2的做法是把这句自然语言指令先转成一份机器可校验的凭证，里面把金额上限、品类、收款方、有效期这些要素全部结构化下来。智能体后续每发起一次扣款，系统都会拿这张凭证去对账：金额对不对、品类对不对、商家在不在白名单里。如果Agent突然想买一束300块的玫瑰，请求会被直接拒绝，或者弹给用户二次确认。

这个设计思路并不新——本质上是把支付意图做了形式化建模，类似智能合约里的条件分支。但放在大模型Agent的语境下，它解决了一个非常实际的问题：LLM输出是概率性的，但钱的进出必须是确定性的。Mandate就是这两者之间的转换器。

ARI：给智能体发身份证

光有凭证还不够。Agent被劫持、Prompt注入、运行环境被污染——这些是过去一年安全圈天天讨论的事情。一个被注入了恶意指令的Agent，照样能拿着合法的Mandate去刷你的钱。

京东在协议里塞进去的第二件武器是ARI（Agent Runtime Identity，智能体运行时身份）。这名字起得挺学术，干的活其实就一件：在每次扣款的瞬间，把三个东西绑死核验。

1. 真实用户身份——这笔钱最终从谁口袋里出。
2. 智能体身份——发起请求的是不是用户当初授权的那一个Agent版本，而不是一个被换皮的山寨货。
3. 运行时环境——这个Agent现在跑在哪台设备上，环境干不干净，有没有被恶意程序注入。

三个条件缺一不可，全过才放行。听着像是「三因素认证」的Agent版本，但关键在「运行时」三个字。它不是在你授权那一刻校验一次就完了，而是每一笔交易都重新核验当前环境。这就堵上了「Agent今天上线时干净、明天被劫持后继续花钱」这种场景。

类比一下，传统支付的安全模型像是机场安检——进去之前查一遍，进去之后随便走。ARI更像是每次登机口都重新刷脸，麻烦但是稳。

资金载体隔离：给Agent单开一个钱包

协议里第三层防御叫「资金载体隔离层」，这一招其实最朴素，也最有效。

逻辑很简单：Agent永远碰不到你的主账户。

用户授权一个Agent去干活，系统会单独开一个「专用账户」，里面只放够用的钱，并且加上一堆硬性约束：

• 单笔/累计金额上限
• 允许的消费场景（外卖？打车？购物？）
• 有效时间窗口
• 允许的收款方白名单

哪怕这个Agent被黑得底裤都不剩，它能动的也只是这个专用账户里那点预算，主账户毫发无伤。用户可以随时查每个Agent名下分了多少钱、花到哪儿去了，也可以一键收回授权。

这套机制和Web3里的「热钱包/冷钱包」分离思路非常像，也和企业财务里的「备用金制度」如出一辙。把成熟世界里已经验证过的风控逻辑搬到Agent场景，比硬造概念实在多了。

这套东西到底解决了谁的问题

聊到这就该掂量一下：A2P2究竟是真需求，还是京东在抢一个标准位？

我的判断是——真需求，但目前的牌主要还是京东自己在出。

先说真需求这一面。Agent经济要真正跑起来，支付这一环绕不过去。OpenAI、Anthropic、Google都在憋大招，但他们的路径更偏向「让Agent接入现有支付网络」，比如Stripe最近推的Agent Toolkit、Visa和Mastercard都放出了Agent专用卡的风声。京东的路径不一样，它直接从协议层重新设计，把「身份+授权+资金隔离」三件套打包提供。这种自上而下的协议设计，在国内电商支付一体化的格局里反而有优势——京东既是商品平台，又是支付方（京东支付），还自己做了大模型（言犀），整个链路它都能闭环。

但反过来看，这也是A2P2最大的软肋。协议要成为标准，得有人愿意接。如果只有京东自己的Agent、京东自己的支付、京东自己的商品能跑这套，那它就不是协议，是产品。真正的考验在后面：微信支付、支付宝认不认？字节、阿里、腾讯的Agent愿不愿意接？跨平台的「Mandate」格式能不能统一？这些问题不解决，A2P2再精致也只能是京东体内循环。

另一个值得观察的点是和国际标准的对齐。Anthropic在2025年底推过一份Agent Commerce的讨论稿，里面也提到了授权范围、运行时验证这些概念，思路其实跟ARI挺像。如果京东接下来能把A2P2推向开放，甚至贡献给行业组织（中国支付清算协会、信通院之类），它的话语权才能立住。否则就是又一个「业内首个」的PR话术。

给开发者的几个实际启示

抛开宏大叙事，对正在做Agent产品的开发者来说，A2P2至少提供了几个能直接借鉴的设计模式：

1. 把模糊指令结构化。不管你用不用Mandate这个名字，让LLM输出经过一道形式化的意图凭证，再交给下游执行，这是降低LLM幻觉风险的通用手段。不止支付，任何涉及外部副作用的Agent动作都该这么干。
2. 运行时身份比静态身份重要。在Prompt注入、模型越狱满天飞的当下，「授权那一刻是谁」远不如「执行那一刻是谁、环境是什么」重要。这个思路可以推广到很多Agent安全场景。
3. 永远给Agent一个有限的沙盒。无论是资金、文件系统还是API权限，能隔离就隔离，能限额就限额。Agent的能力越强，给它的口子就要越窄。

写在最后

智能体经济到了2026年，已经不是「能不能做」的问题，而是「敢不敢放手」的问题。A2P2这套协议，本质上是在回答后面那个问题——怎么让用户敢把钱包交给AI。

京东这一步走得挺果断，至少在国内是第一个把这件事系统化讲清楚的玩家。L0到L5的分级、Mandate的形式化、ARI的运行时核验、资金载体的隔离——四件套搭在一起，方向是对的。剩下的就看生态怎么接、监管怎么看、对手怎么跟。

顺带一提，做Agent开发的同学如果想在不同模型之间快速比较谁更适合驱动支付类Agent，可以用OpenAI Hub这类聚合平台——一个Key调GPT、Claude、Gemini、DeepSeek全家桶，省得每家挨个开账号、配密钥。Agent的脑子在哪家强，跑一遍就知道了。

下一个问题留给行业：当AI真的能自己花钱，第一个被它「买亏」的人，会不会站出来打官司？这才是A2P2真正要面对的考题。

参考来源

• IT之家：京东发布国内首个智能体自主支付协议，AI 花钱权限划分 L0 至 L5 六个等级 —— A2P2协议的首发报道，含L0-L5分级、Mandate、ARI机制的详细解读。