Risikovektoren spezifisch für Agentic Commerce
Agentic Commerce führt Risikovektoren ein, denen der klassische E-Commerce nicht begegnet:
- Identitätsdiebstahl von Agenten: Ein böswilliger Akteur gibt sich als legitimer KI-Agent (Gemini, ChatGPT) aus, um betrügerische Bestellungen über UCP-Endpunkte zu initiieren
- AP2-Sitzungsentführung: Abfangen eines gültigen AP2-Tokens, um unautorisierte Transaktionen auszuführen
- Angriff auf die Identitätsverknüpfung: Modifizieren von Lieferdaten während der Übertragung zwischen Agent und Händler
- Missbrauch von AP2-Berechtigungen: Ein kompromittierter KI-Agent (durch Prompt-Injection) tätigt Käufe, die über die Absichten des Benutzers hinausgehen
- Betrügerische Händler: Geschäfte, die UCP-Endpunkte anbieten, aber Produkte liefern, die von ihrer Katalogbeschreibung abweichen oder minderwertig sind
UCP-Sicherheitsmechanismen
1. Kryptografische Agentenauthentifizierung
UCP definiert ein Identitätsbestätigungssystem für KI-Agenten. Jeder KI-Agent, der zur Ausführung von UCP-Transaktionen autorisiert ist, besitzt ein von einer UCP-Zertifizierungsstelle ausgestelltes Zertifikat. Wenn ein Agent eine Anfrage an POST /ucp/v1/checkout initiiert, fügt er seine kryptografische Signatur hinzu. Der Händler überprüft diese Signatur anhand der UCP-Autorität, bevor er die Bestellung bearbeitet.
2. AP2-Tokenisierung mit parametrisierten Limits
Zahlungstoken werden mit strengen Einschränkungen ausgegeben: maximaler Betrag, autorisierte Kategorien, Gültigkeitsdauer. Diese Einschränkungen werden auf Seiten des Zahlungsabwicklers überprüft, weder der Händler noch der Agent können sie umgehen. Wenn ein KI-Agent durch einen Prompt-Injection-Angriff kompromittiert wird, verhindern AP2-Limits automatisch Transaktionen, die die vom Benutzer definierten Parameter überschreiten.
3. Identitätsverknüpfung mit kryptografischer Signatur
Identitätsdaten, die über Identity Linking (Name, Lieferadresse, Telefon) übertragen werden, werden vom KI-Agenten mit seinem privaten Schlüssel signiert. Der Händler überprüft die Datenintegrität über die Signatur, bevor er sie verwendet. Jede In-Transit-Modifikation macht die Signatur ungültig und führt zur Ablehnung der Bestellung.
4. Unveränderliche Transaktionsprotokollierung
Jede UCP-Transaktion generiert ein zeitgestempeltes, kryptografisch signiertes Protokoll, das sowohl auf der Seite des KI-Agenten als auch auf der Seite des Händlers gespeichert wird. Im Streitfall kann der KI-Agent das signierte Protokoll vorlegen, das beweist, dass die Transaktion gemäß den vom Benutzer autorisierten Parametern initiiert wurde.
5. Händler-Reputationssystem
UCP enthält ein Händler-Reputationsregister. Händler, die zu viele Meldungen erhalten (Produkte, die nicht der Beschreibung entsprechen, Nichtlieferung, Betrug), sehen ihren Reputationswert sinken. KI-Agenten können die Ergebnisse filtern, um nur Händler anzuzeigen, die über einem Reputationsschwellenwert liegen.
Sicherheitsempfehlungen für Händler
- Aktivieren Sie die gegenseitige TLS-Authentifizierung an Ihren UCP-Endpunkten (nicht nur serverseitiges TLS)
- Implementieren Sie eine Ratenbegrenzung für
/ucp/v1/checkout: 10 Anfragen/Minute pro IP sind ein vernünftiger Ausgangspunkt - Bewahren Sie Protokolle aller Agentic-Transaktionen für mindestens 3 Jahre auf
- Testen Sie Ihre Endpunkte regelmäßig mit der offiziellen UCP-Testsuite
- Richten Sie Warnungen für Anomalien ein: Bestellspitzen, ungewöhnliche Beträge, nicht erkannte Agenten
Benutzerschutz: Was KI-Agenten tun müssen
UCP legt Verhaltensregeln für KI-Agenten fest, um Benutzer zu schützen:
- Obligatorische Bestätigung für Transaktionen, die den vom Benutzer definierten Schwellenwert überschreiten
- Benachrichtigung über jede abgeschlossene Transaktion mit Händler-, Produkt-, Preis- und Bestellnummerdetails
- Widerrufsfrist: Der Benutzer hat ein konfigurierbares Zeitfenster, um eine Agentic-Bestellung vor der Vorbereitung zu stornieren
- Monatliche Zusammenfassung der getätigten Agentic-Käufe mit der Option, Berechtigungen zu widerrufen