Vetores de risco específicos do comércio agentivo
O comércio agentivo introduz vetores de risco que o e-commerce clássico não enfrenta:
- Falsificação de identidade de agente: um ator malicioso se passando por um agente de IA legítimo (Gemini, ChatGPT) para iniciar pedidos fraudulentos via endpoints UCP
- Sequestro de sessão AP2: interceptação de um token AP2 válido para executar transações não autorizadas
- Ataque de Identity Linking: modificação de dados de entrega durante a transmissão entre agente e comerciante
- Abuso de permissão AP2: um agente de IA comprometido (via injeção de prompt) fazendo compras além das intenções do usuário
- Comerciantes fraudulentos: lojas que expõem endpoints UCP, mas entregam produtos diferentes ou inferiores à descrição do seu catálogo
Mecanismos de segurança UCP
1. Autenticação criptográfica de agente
O UCP define um sistema de atestado de identidade para agentes de IA. Cada agente de IA autorizado a executar transações UCP possui um certificado emitido por uma autoridade de certificação UCP. Quando um agente inicia uma solicitação em POST /ucp/v1/checkout, ele anexa sua assinatura criptográfica. O comerciante verifica essa assinatura contra a autoridade UCP antes de processar o pedido.
2. Tokenização AP2 com limites parametrizados
Os tokens de pagamento são emitidos com restrições rigorosas: valor máximo, categorias autorizadas, duração da validade. Essas restrições são verificadas no lado do processador de pagamento; nem o comerciante nem o agente podem contorná-las. Se um agente de IA for comprometido por meio de um ataque de injeção de prompt, os limites AP2 impedem automaticamente transações que excedam os parâmetros definidos pelo usuário.
3. Identity Linking com assinatura criptográfica
Os dados de identidade transmitidos via Identity Linking (nome, endereço de entrega, telefone) são assinados pelo agente de IA com sua chave privada. O comerciante verifica a integridade dos dados via assinatura antes de usá-los. Qualquer modificação em trânsito invalida a assinatura e aciona a rejeição do pedido.
4. Registro de transações imutável
Cada transação UCP gera um log com carimbo de data/hora e assinado criptograficamente, armazenado tanto no lado do agente de IA quanto no lado do comerciante. Em caso de disputa, o agente de IA pode apresentar o log assinado provando que a transação foi iniciada de acordo com os parâmetros autorizados pelo usuário.
5. Sistema de reputação do comerciante
O UCP inclui um registro de reputação do comerciante. Comerciantes que recebem muitos relatórios (produtos não conformes com a descrição, não entrega, fraude) veem sua pontuação de reputação cair. Agentes de IA podem filtrar os resultados para mostrar apenas comerciantes acima de um limite de reputação.
Recomendações de segurança para comerciantes
- Habilite a autenticação mTLS em seus endpoints UCP (não apenas TLS do lado do servidor)
- Implemente limitação de taxa em
/ucp/v1/checkout: 10 solicitações/minuto por IP é um bom ponto de partida - Mantenha logs de todas as transações agentivas por pelo menos 3 anos
- Teste regularmente seus endpoints com o pacote de testes oficial do UCP
- Configure alertas para anomalias: picos de pedidos, valores incomuns, agentes não reconhecidos
Proteção do usuário: o que os agentes de IA devem fazer
O UCP impõe regras de comportamento aos agentes de IA para proteger os usuários:
- Confirmação obrigatória para transações que excedam o limite definido pelo usuário
- Notificação de cada transação concluída com detalhes do comerciante, produto, preço e número do pedido
- Período de carência para cancelamento: o usuário tem uma janela configurável para cancelar um pedido agentivo antes da preparação
- Resumo mensal das compras agentivas realizadas, com opção de revogar permissões