Vectores de riesgo específicos del comercio agéntico
El comercio agéntico introduce vectores de riesgo que el comercio electrónico clásico no enfrenta:
- Suplantación de identidad de agente: un actor malicioso que se hace pasar por un agente de IA legítimo (Gemini, ChatGPT) para iniciar pedidos fraudulentos a través de los puntos finales de UCP
- Secuestro de sesión AP2: interceptar un token AP2 válido para ejecutar transacciones no autorizadas
- Ataque de Identity Linking: modificar los datos de entrega durante la transmisión entre el agente y el comerciante
- Abuso de permisos AP2: un agente de IA comprometido (mediante inyección de prompt) que realiza compras más allá de las intenciones del usuario
- Comerciantes fraudulentos: tiendas que exponen puntos finales de UCP pero entregan productos diferentes o inferiores a la descripción de su catálogo
Mecanismos de seguridad de UCP
1. Autenticación criptográfica de agentes
UCP define un sistema de atestación de identidad para agentes de IA. Cada agente de IA autorizado para ejecutar transacciones UCP posee un certificado emitido por una autoridad de certificación UCP. Cuando un agente inicia una solicitud en POST /ucp/v1/checkout, adjunta su firma criptográfica. El comerciante verifica esta firma contra la autoridad UCP antes de procesar el pedido.
2. Tokenización AP2 con límites parametrizados
Los tokens de pago se emiten con restricciones estrictas: cantidad máxima, categorías autorizadas, duración de validez. Estas restricciones se verifican en el lado del procesador de pagos; ni el comerciante ni el agente pueden eludirlas. Si un agente de IA se ve comprometido mediante un ataque de inyección de prompt, los límites de AP2 evitan automáticamente las transacciones que exceden los parámetros definidos por el usuario.
3. Identity Linking con firma criptográfica
Los datos de identidad transmitidos a través de Identity Linking (nombre, dirección de entrega, teléfono) son firmados por el agente de IA con su clave privada. El comerciante verifica la integridad de los datos a través de la firma antes de usarlos. Cualquier modificación en tránsito invalida la firma y provoca el rechazo del pedido.
4. Registro de transacciones inmutable
Cada transacción UCP genera un registro con marca de tiempo y firma criptográfica, almacenado tanto en el lado del agente de IA como en el lado del comerciante. En caso de disputa, el agente de IA puede presentar el registro firmado que prueba que la transacción se inició de acuerdo con los parámetros autorizados por el usuario.
5. Sistema de reputación de comerciantes
UCP incluye un registro de reputación de comerciantes. Los comerciantes que reciben demasiados informes (productos no conformes con la descripción, falta de entrega, fraude) ven caer su puntuación de reputación. Los agentes de IA pueden filtrar los resultados para mostrar solo los comerciantes por encima de un umbral de reputación.
Recomendaciones de seguridad para comerciantes
- Habilite la autenticación TLS mutua en sus puntos finales UCP (no solo TLS del lado del servidor)
- Implemente la limitación de velocidad en
/ucp/v1/checkout: 10 solicitudes/minuto por IP es un punto de partida razonable - Conserve los registros de todas las transacciones agénticas durante al menos 3 años
- Pruebe regularmente sus puntos finales con el conjunto de pruebas oficial de UCP
- Configure alertas para anomalías: ráfagas de pedidos, cantidades inusuales, agentes no reconocidos
Protección del usuario: lo que deben hacer los agentes de IA
UCP impone reglas de comportamiento a los agentes de IA para proteger a los usuarios:
- Confirmación obligatoria para transacciones que excedan el umbral definido por el usuario
- Notificación de cada transacción completada con detalles del comerciante, producto, precio y número de pedido
- Período de gracia de cancelación: el usuario tiene una ventana configurable para cancelar un pedido agéntico antes de la preparación
- Resumen mensual de las compras agénticas realizadas, con opción de revocar permisos