AI终于开始自己花钱了：当 Agent 接上钱包，互联网要重新定价AI终于开始自己花钱了：当 Agent 接上钱包，互联

AI终于开始自己花钱了：当 Agent 接上钱包，互联网要重新定价

很长一段时间里，AI 看起来什么都会。

它能帮你写邮件、查资料、做表格、订计划，甚至能打开浏览器一步步操作页面。可一旦走到最后一步，事情就会突然变得很原始：它可以告诉你应该买哪张票、订哪家酒店、调用哪个付费 API，但真正掏钱的人还是你。

这一步以前像一条红线。

模型可以“建议”，工具可以“执行”，但钱不能随便动。因为只要牵涉到支付，问题就不再是“回答准不准”，而是“谁授权、花了多少、买错了谁负责、怎么退款、怎么证明这笔钱不是被诱导花出去的”。

2026 年 5 月 7 日，AWS 把这条红线往前推了一截。

AWS 发布了 Amazon Bedrock AgentCore Payments preview。按官方说法，它让 AI agents 可以在执行任务时，为网页内容、API、MCP servers 以及其他 agents 付费。注意，当前它仍是 preview，不等于已经大规模普及；但它不是一个“AI 帮你网购”的小功能，而是把 agent 付费做成了云基础设施：钱包、支付执行、预算控制、可观测性，和 agent 平台放在同一层里管理。

AWS AgentCore Payments 官方发布图

图：AWS 官方博客配图，来源：AWS Machine Learning Blog。

如果说 2023 到 2025 年的关键词是“大模型接上工具”，那么 2026 年之后，一个更现实的问题会浮出来：

当 AI 不只是调用工具，而是可以为工具、内容、数据和服务付费，互联网会变成什么样？

以前的 AI，差在最后一公里

我们先把场景说得具体一点。

假设你让一个研究型 agent 帮你做一份行业分析。它先读公开网页，再查新闻，再跑财报摘要，最后发现某个实时数据库里有关键数据，但这个数据库按次收费，一次查询 0.2 美元。

今天的常规做法是：agent 停下来，把链接发给你，让你登录、付费、复制结果，再把结果交还给它。

听起来只是多了几步，但这几步会把“自动完成任务”打回“人盯流程”。如果每一次资料、模型、API、网页、第三方 agent 都要人类手动建立账号、绑卡、确认付款，agent 就很难成为真正的执行者。

企业里更明显。

一个财务 agent 可能需要买实时汇率，一个法务 agent 可能需要查付费判例，一个代码 agent 可能需要调用私有测试环境或安全扫描 API，一个采购 agent 可能需要向供应商系统询价、下单、支付订金。只要支付链路还停在人手里，agent 就只能做到“建议下一步”，做不到“在边界内完成下一步”。

所以 AWS 这次真正重要的点，不是 AI 会不会买东西。

它真正触到的是：agent 如何成为一个被授权、被限额、可审计的经济参与者。

x402：一个旧状态码，被 AI 重新唤醒

这件事背后有一个很有意思的技术伏笔：HTTP 402。

很多人熟悉 404，意思是页面不存在；也熟悉 403，意思是没有权限。但 HTTP 规范里还有一个长期没真正流行起来的状态码：402 Payment Required，也就是“需要支付”。

过去的互联网不太需要它。人类浏览网页时，付费通常发生在网页表单、订阅页、App 内购或第三方支付页面里。你点按钮，页面跳转，支付完成，服务再给你开放权限。这个流程是为人类设计的，不是为机器设计的。

但 agent 的世界不一样。

agent 调 API 时，最好不要突然被甩到一个充值页面；agent 读网页时，也不可能像人一样一个个注册账号；agent 调另一个 agent 时，双方最好能用协议把“价格、付款方式、凭证、结果”说清楚。

Coinbase 推出的 x402 就是沿着这个方向走：服务端可以返回 HTTP 402，并在响应里告诉客户端需要付多少钱、付到哪里；客户端构造支付载荷，把签名后的付款凭证带回去；服务端验证后再返回资源。

把它翻译成人话，就是这样：

agent：我要访问这个数据接口。
接口：可以，但这次查询要收费，这是价格和付款要求。
agent：我在预算内付款，这是支付凭证。
接口：验证通过，这是你要的数据。

这套机制听上去很小，但它绕开了传统支付的一大堆摩擦。它不要求每个 API 都和每个 agent 提前签合同，也不要求每次访问都走人工充值。它把“付费”变成了一次标准的请求响应。

AWS AgentCore Payments 当前 preview 阶段支持 x402。开发者可以连接 Coinbase CDP wallet 或 Stripe Privy wallet，给 agent 建立带预算的 payment session。agent 遇到 402 时，AgentCore 负责协议协商、钱包认证、支付执行、返回支付证明，同时记录日志、指标和 trace。

x402 与 agentic commerce 官方图

图：AWS 行业博客配图，来源：AWS for Industries。

关键点在“预算”。

一个健康的 agent 付费系统，绝不是给模型一张无限额银行卡。它更像给它一张临时工牌：这次任务最多花 5 美元，只能访问某类资源，超出预算就停，交易全程留痕，出了问题可以追溯。

这也是为什么 AWS 官方文档里反复强调 session-level spending limits、observability、credential management。因为 agent 一旦能动钱，安全边界就不能靠“模型自己小心点”。

这不是孤立新闻，而是一条产业线索

AWS 不是第一个看见这个方向的公司。

2025 年 9 月，Stripe 和 OpenAI 发布 Instant Checkout in ChatGPT，并共同推出 Agentic Commerce Protocol，也就是 ACP。这个方案更接近消费者电商：用户在 ChatGPT 里看到商品，确认后通过 Stripe 完成内嵌结账。Stripe 会生成 Shared Payment Token，让 ChatGPT 可以发起付款，但不暴露用户原始支付凭证。

OpenAI 与 Stripe 官方发布图

图：Stripe 官方新闻图，来源：Stripe Newsroom。

Visa 在 2025 年 4 月发布 Visa Intelligent Commerce，说法更像支付网络的语言：让 AI agents 能在用户预设偏好和限制下完成查找、购买与支付。Mastercard 同月发布 Mastercard Agent Pay，核心词是 agentic tokens、可信 agent 注册、用户控制、商家识别。

Google 在 2025 年 9 月发布 Agent Payments Protocol, AP2。AP2 不只关心怎么付款，更关心怎么证明“用户真的授权了这件事”。它用 Intent Mandate 和 Cart Mandate 这样的概念，把用户意图、购物车、付款记录串成可审计证据链。

Cloudflare 和 Coinbase 则在 2025 年 9 月宣布计划成立 x402 Foundation，把 402 Payment Required 推向更开放的互联网支付标准。

Google AP2 官方发布图

图：Google Cloud 官方博客配图，来源：Google Cloud Blog。

把这些消息放在一起看，会发现它们不是同一个产品，但在回答同一个问题：

未来如果有大量 AI agents 替人或替企业做事，它们怎么在互联网上被识别、被授权、被限额、被收费、被追责？

不同公司给出的答案不一样。

OpenAI 和 Stripe 更像从“聊天入口里的购买”切进去。Visa、Mastercard 更像从“现有银行卡网络如何支持 agent”切进去。Coinbase、Cloudflare、AWS 更像从“机器到机器的微支付”切进去。Google AP2 更像从“跨平台授权和责任证明”切进去。

它们争的不是一个按钮。

它们争的是下一代互联网的交易接口。

真正会变的，是互联网的计费方式

今天的互联网商业模式，大致有几类：广告、订阅、会员、按量 API、一次性购买。

这些模式都默认一个前提：用户是人，人会点页面，人会看广告，人会管理账号，人会决定要不要订阅。

agent 进来之后，这个前提开始松动。

一个 agent 不想看广告，它只想拿到结果。一个 agent 也不一定想订阅全年服务，它可能只需要今天调用三次。一个 agent 不关心网页视觉设计，它关心数据是否可信、接口是否可用、价格是否在预算内、返回是否能被解析。

所以，agent 时代很可能把一部分互联网从“展示型商业”推向“调用型商业”。

过去你卖一个网页会员，未来可能卖一次结构化读取。

过去你卖一个 SaaS 套餐，未来可能卖某个能力的按次调用。

过去内容平台靠人类停留时长和广告变现，未来某些高质量内容可能直接给 agent 标价：读这篇深度报告 0.05 美元，引用这个数据源 0.01 美元，调用这个专业模型 0.2 美元。

这不是说广告和订阅会消失。它更像在现有互联网旁边长出一条新路：给 agent 看的路，给 agent 调用的路，给 agent 付费的路。

AWS 文档里列的 use cases 就很直白：research agent 可以按预算购买专业数据源；financial analysis agent 可以为实时市场数据付费；browser agent 可以访问支持付费协议的网站；agent 甚至可以按任务动态选择不同模型，只为实际 token 使用付费。

这就是“互联网重新定价”的意思。

不是所有东西都卖给人看，而是越来越多东西会卖给 agent 用。

MCP 在这里扮演什么角色

很多人听到 MCP，会把它理解成“AI 接工具的协议”。这个理解没错，但放到 agent 支付里，它会变得更具体。

如果一个 agent 要完成任务，它不只是要调用一个 API。它可能要发现工具、比较工具、读工具说明、确认价格、判断是否需要付款、调用后记录结果。MCP server 正好可以把一个能力暴露成 agent 可理解、可调用的工具。

AWS 这次提到的一个细节很关键：AgentCore Gateway 提供 Coinbase x402 Bazaar MCP server，AWS 文档写到它暴露了 10,000+ 个 pay-per-use x402 endpoints，开发者可以让 agent 搜索和发现这些付费能力。

这意味着未来的 agent 不一定需要人类提前把每个付费服务硬编码进去。它可能会像人类搜索 App 一样，自己发现某个付费工具，判断它是否适合任务，再在预算内调用。

听起来很科幻，但技术路径已经很清晰：

MCP 负责描述和连接工具
x402 / ACP / AP2 负责支付与授权
钱包和 token 负责资金与凭证
云平台负责预算、身份、日志、审计

这几个东西一旦拼起来，agent 就不只是“会用工具”，而是“能进入市场”。

最危险的地方，也在这里

这件事让人兴奋，也让人不安。

因为 agent 付费系统一旦做错，损失不是抽象的。它可能真的花钱，真的下单，真的订阅，真的泄露账户和交易信息。

最核心的风险不是“AI 会不会胡说”，而是“AI 胡说之后会不会执行”。

比如，一个 agent 把假冒网站当成真实商家，在预算内买了东西；或者它把“帮我看看有没有合适机票”理解成“看到低价就直接买”；或者某个恶意网页专门写给 agent 看，诱导它调用高价 API；或者一个企业 agent 被提示注入攻击影响，开始向错误的供应商付款。

这类问题不能只靠模型对齐解决。

它需要支付系统、身份系统、浏览器、MCP server、企业权限、审计日志一起解决。具体来说，至少要回答六个问题：

谁授权了 agent？授权范围是什么？每次交易是否在预算内？商家怎么知道这是可信 agent？出了错谁负责退款和争议？事后能不能还原当时的用户意图、商品、价格、付款凭证和工具调用链？

Google AP2 把问题拆成 authorization、authenticity、accountability，是比较准确的。Mastercard 强调 trusted agents、tokenized credentials 和 consumer control，也是在补同一块拼图。OpenAI/Stripe 的 Shared Payment Token 则强调凭证不能裸奔，token 要限定商家和金额。

换句话说，agent 付费真正成熟的标志，不是“它终于能付钱了”。

真正成熟的标志是：它能证明这笔钱为什么该付、是谁让它付、付给了谁、有没有超界、出了问题怎么处理。

对普通人来说，第一波变化可能不是“自动买买买”

很多人看到这里，会自然想到一个场景：以后我跟 AI 说“帮我买一双跑鞋”，它就自己下单。

这个场景会来，但它未必是第一波最有价值的场景。

第一波更可能发生在低金额、高频、可审计的地方。

比如，agent 为一份研究报告买几次数据查询。agent 为代码任务调用一次付费测试服务。agent 为企业内部流程临时采购一个云资源。agent 为内容摘要访问一篇支持机器付费的文章。agent 为另一个专业 agent 支付一次推理费用。

这些场景有几个共同点：金额小、结果可验证、预算好控制、人工不想每次介入。

真正的消费级自动购物，反而会慢一些。因为它牵涉到商品质量、售后、物流、退换货、用户偏好、欺诈、未成年人保护、订阅陷阱等一整套现实问题。

所以不要把 agent 支付只想成“AI 帮我网购”。

更大的变化是，AI 会把互联网里原本很多不值得人工支付的小交易重新激活。

过去，一次 0.02 美元的数据调用很难卖给人，因为人不可能为 0.02 美元走一遍登录和支付。但如果买方是 agent，支付可以在请求里自动完成，这类微交易就突然有了经济意义。

中国互联网会怎样跟进

国内短期内未必会照搬 x402 或稳定币路径。监管环境、支付基础设施、平台生态都不一样。

但方向不会完全不同。

国内更可能先出现几类形态：企业内部 agent 绑定预算和采购权限；SaaS 平台给 agent 开放按量接口；内容平台给 AI 摘要、引用、训练、检索设计新的授权和计费；支付机构给企业 agent 提供虚拟账户、限额、审批、审计能力；大平台在自己的生态内先做“AI 帮你完成购买，但关键节点人确认”。

也就是说，底层协议可以不同，但问题一样：

agent 代表谁？能买什么？最多花多少？交易证据在哪里？平台怎么识别它不是恶意自动化？

谁先把这些问题做顺，谁就可能拿到下一代 agent 流量入口。

这件事的判断标准

今天看 agent 支付，容易走向两个极端。

一种是过度兴奋，觉得 AI 马上会替人完成所有商业活动。另一种是过度保守，觉得只要牵涉支付就不可能自动化。

更现实的判断是：agent 支付会先从“低风险、低金额、可追踪”的地方长出来，再逐渐进入更复杂的消费和企业采购。

短期看，它会先改变开发者和企业 agent 的工作方式。

中期看，它会改变 API、内容、模型、数据源、专业服务的商业模式。

长期看，它会迫使整个互联网重新回答一个问题：如果访问者不再是人类页面用户，而是一个带任务、带预算、带权限的 agent，网站、应用、商家和支付网络应该怎么设计？

这才是 AWS 这次发布值得关注的地方。

它不是说所有 AI 明天都会自己花钱。它只是说明，产业已经开始认真搭建这套基础设施了。

过去，我们问 AI：你能不能帮我想办法？

后来，我们问 AI：你能不能帮我调用工具？

接下来，我们会问一个更现实、更危险、也更有商业价值的问题：

你能不能在我设定的边界内，自己完成交易？

如果答案变成“可以”，那 AI agent 就不再只是软件里的助手。它会变成互联网经济里的新角色。

而新角色一旦能花钱，旧互联网的很多规则，都要重新算一遍。

参考资料

AWS Machine Learning Blog: Agents that transact: Introducing Amazon Bedrock AgentCore payments, built with Coinbase and Stripe
AWS Documentation: Amazon Bedrock AgentCore payments
AWS Documentation: Process a payment
Coinbase Developer Documentation: Welcome to x402
Stripe Newsroom: Stripe powers Instant Checkout in ChatGPT and releases Agentic Commerce Protocol codeveloped with OpenAI
Google Cloud Blog: Powering AI commerce with the new Agent Payments Protocol (AP2)
Visa: Find and Buy with AI: Visa Unveils New Era of Commerce
Mastercard: Mastercard unveils Agent Pay
Cloudflare: Cloudflare and Coinbase Will Launch x402 Foundation