Gdy UCP opisuje, jak agent znajdzie produkt i przeprowadzi zakup, a ACP definiuje, jak ChatGPT rozmawia z merchantem — żaden z nich nie odpowiada na pytanie, które jest najbardziej oczywiste dla każdego kupującego: skąd merchant wie, że agent naprawdę ma pozwolenie na wydanie moich pieniędzy?
To jest dokładnie problem, który rozwiązuje Agent Payments Protocol — AP2.
AP2 to otwarty protokół ogłoszony przez Google we współpracy z ponad 60 partnerami — Mastercard, Visa, American Express, PayPal, Adyen, Stripe, Coinbase i innymi. Jego zadanie jest jedno: wprowadzić kryptograficzny dowód zgody użytkownika do każdej transakcji inicjowanej przez agenta AI.
Problem, który istniał zanim AP2 go rozwiązał
Tradycyjne systemy płatności online opierają się na jednym założeniu: przy kasie stoi człowiek. To człowiek wpisuje numer karty, klika „zapłać”, przechodzi 3D Secure, potwierdza SMS-em. Cały model bezpieczeństwa transakcji online jest zbudowany wokół ludzkiej obecności w momencie zakupu.
Agent AI to założenie rozsadza.
Gdy autonomiczny agent inicjuje płatność, pojawiają się pytania, na które stare systemy nie mają odpowiedzi. Po pierwsze: skąd merchant wie, że użytkownik naprawdę autoryzował ten konkretny zakup — a nie że agent się pomylił, zinterpretował instrukcję zbyt szeroko, albo po prostu halucynuje? Po drugie: co jeśli agent kupi nie to co trzeba — kto odpowiada? Po trzecie: jak bank ma ocenić ryzyko transakcji, jeśli nie wie, czy za zakupem stoi człowiek, czy maszyna?
Bez wspólnego standardu każda platforma rozwiązywała to po swojemu — albo nie rozwiązywała wcale, przerzucając odpowiedzialność na użytkownika. AP2 wprowadza wspólny język dla wszystkich uczestników ekosystemu: agenta, merchantera, operatora płatności i banku wydającego kartę.
Trzy mandaty — fundament AP2
Kluczowym konceptem AP2 są mandaty (mandates) — kryptograficznie podpisane dokumenty cyfrowe, które stanowią weryfikowalny dowód zgody użytkownika na każdym etapie transakcji.
AP2 definiuje trzy rodzaje mandatów.
AP2 definiuje trzy rodzaje mandatów.
Intent Mandate — mandat intencji. Użytkownik podpisuje go, gdy deleguje agentowi prawo do działania w określonym zakresie. Definiuje reguły: limit kwoty, przedział czasowy, kategoria zakupów, inne warunki. Przykład: „Kup bilety na koncert, gdy tylko pojawią się w sprzedaży, za maksymalnie 300 zł na osobę.” Agent otrzymuje podpisany mandat i może działać autonomicznie — ale wyłącznie w jego granicach.
Cart Mandate — mandat koszyka. Gdy agent znajdzie konkretny produkt i jest gotowy do finalizacji zakupu, użytkownik (lub agent działający na podstawie Intent Mandate) podpisuje mandat potwierdzający dokładną zawartość koszyka: jakie produkty, w jakiej ilości, po jakiej cenie. To jest nieodwołalny dowód, że użytkownik zatwierdził ten konkretny zakup. Merchantant otrzymując Cart Mandate wie z pewnością, że transakcja odzwierciedla rzeczywistą intencję użytkownika — a nie artefakt AI.
Payment Mandate — mandat płatniczy. To oddzielny dokument przesyłany do sieci płatniczej i banku wydającego kartę. Informuje operatora płatności, że transakcja jest inicjowana przez agenta AI, czy użytkownik był obecny przy finalizacji czy nie, oraz że istnieje weryfikowalny łańcuch dowodów prowadzący od intencji do płatności.
Łącznie te trzy mandaty tworzą to, co specyfikacja AP2 opisuje jako „contractual conversation” — rozmowę kontraktową, gdzie każdy krok jest podpisany i weryfikowalny przez wszystkich uczestników.
Dwa tryby działania
AP2 rozróżnia dwa fundamentalnie różne scenariusze zakupowe, które wymagają różnych poziomów autoryzacji.
Human-present — użytkownik jest aktywnie obecny w momencie zakupu. Agent proponuje produkt, użytkownik zatwierdza, agent finalizuje. W tym trybie Cart Mandate jest podpisywany przez użytkownika w czasie rzeczywistym — podobnie do kliknięcia „zapłać” na tradycyjnej stronie, tyle że w interfejsie konwersacyjnym.
Human-not-present — użytkownik delegował agentowi prawo do działania bez swojej obecności. Zakup biletu gdy pojawi się w sprzedaży. Zamówienie produktu gdy jego cena spadnie poniżej progu. Automatyczne odnowienie subskrypcji. W tym trybie agent działa na podstawie wcześniej podpisanego Intent Mandate, a Cart Mandate generuje autonomicznie — ale wyłącznie gdy warunki mandatu są spełnione. Każde przekroczenie granic mandatu jest zablokowane protokolarnie.
Ta różnica ma znaczenie nie tylko techniczne. Ma znaczenie regulacyjne i prawne — przepisy o silnym uwierzytelnianiu klientów (SCA, PSD2) były pisane z myślą o ludzkich transakcjach. AP2 tworzy mechanizm, który pozwala mapować te wymagania na transakcje agentyczne w weryfikowalny sposób.
Architektura ról
AP2 definiuje cztery role w każdej transakcji, każda z jasno oddzielonymi uprawnieniami i obowiązkami.
Shopping Agent — agent działający w imieniu użytkownika. Ma dostęp do Intent Mandate, może tworzyć koszyki, inicjować checkout. Nie ma dostępu do surowych danych karty — nigdy. Dane płatnicze są oddzielone kryptograficznie od agenta zakupowego.
Merchant Endpoint — system sklepu. Odbiera Cart Mandate, weryfikuje jego podpis, przetwarza zamówienie. Nie musi ufać agentowi — ufa kryptograficznemu podpisowi użytkownika na mandacie.
Credential Provider — dostawca tożsamości i danych płatniczych. Przechowuje dane karty użytkownika, wystawia tokeny płatnicze. Google Pay, Apple Pay, portfele bankowe — to są credential providerzy w architekturze AP2.
Payment Network — sieć płatnicza i bank wydający kartę. Otrzymuje Payment Mandate z informacją o charakterze transakcji (agentyczna, tryb present/not-present), weryfikuje i autoryzuje płatność.
Kluczowe: żadna z tych ról nie ma dostępu do informacji, której nie potrzebuje. Agent nie widzi danych karty. Merchant nie widzi tożsamości użytkownika poza tym, co niezbędne. Sieć płatnicza dostaje tylko mandat — nie pełen kontekst rozmowy z agentem. To jest defense in depth wbudowany w architekturę protokołu.
Jak AP2 łączy się z UCP i ACP
Jak AP2 łączy się z UCP i ACP
AP2 nie jest niezależnym protokołem — jest warstwą płatniczą dla całego ekosystemu agentycznego.
UCP (Universal Commerce Protocol, Google) i ACP (Agentic Commerce Protocol, OpenAI/Stripe) definiują, jak agent rozmawia z merchantem i przeprowadza ścieżkę zakupową od discovery do checkout. AP2 wchodzi na etapie finalizacji płatności — zapewnia kryptograficzny dowód autoryzacji dla każdej transakcji, niezależnie od tego, przez który protokół zakup był inicjowany.
W ekosystemie Google: UCP obsługuje ścieżkę zakupową, AP2 obsługuje płatność. Jeden protokół handlowy, jeden protokół płatniczy, interoperacyjne.
W ekosystemie ChatGPT: ACP obsługuje discovery i checkout, Stripe’s Shared Payment Token obsługuje faktyczną płatność (z AP2 jako warstwą mandatów w bardziej zaawansowanych implementacjach).
AP2 jest też rozszerzeniem protokołu A2A (Agent2Agent) — co oznacza, że może obsługiwać scenariusze multi-agent, gdzie jeden agent zleca zakup innemu agentowi, który z kolei komunikuje się z merchantem. Każda warstwa tej delegacji jest kryptograficznie podpisana i weryfikowalna.
Nowe typy handlu, które AP2 umożliwia
AP2 nie jest tylko bezpieczniejszą wersją obecnych płatności online. Otwiera scenariusze, które wcześniej były niemożliwe do zaimplementowania w bezpieczny sposób.
Monitoring ceny z automatycznym zakupem — użytkownik mówi agentowi: „Kup tę kurtkę, jeśli cena spadnie poniżej 400 zł”. Agent monitoruje, a gdy warunek jest spełniony, działa na podstawie Intent Mandate bez angażowania użytkownika. Mandat ogranicza maksymalną kwotę — agent nie może kupić niczego droższego niż autoryzował użytkownik.
Koordynacja multi-agent — agent planujący weekend deleguje zadania: agent lotniczy rezerwuje lot, agent hotelowy rezerwuje pokój, agent transportowy rezerwuje auto. Każda transakcja ma osobny Cart Mandate, każda jest kryptograficznie powiązana z nadrzędną intencją użytkownika. Jeden Intent Mandate rodzi serię powiązanych transakcji.
Spersonalizowane oferty B2B — agent zakupowy firmy komunikuje się z agentem merchantera, negocjuje cenę dla zamówienia hurtowego, generuje ofertę ważną 24 godziny. Użytkownik (menedżer zakupów) zatwierdza Cart Mandate — i transakcja jest wykonana. Bez telefonu, bez e-maila, bez manualnego wprowadzania zamówienia.
Co to oznacza dla merchantów i deweloperów
Dla merchantów najważniejsza implikacja AP2 jest prosta: każde zamówienie agentyczne przychodzi z weryfikowalnym dowodem, że użytkownik je autoryzował. To nie jest deklaracja agenta — to kryptograficzny podpis użytkownika na Cart Mandate. W razie sporu — o fałszywe zamówienie, nieautoryzowany zakup, błąd agenta — merchant ma audytowalny łańcuch dowodów: Intent Mandate, Cart Mandate, Payment Mandate.
Dla deweloperów budujących agentów: AP2 jest open source (Apache 2.0), dostępny na GitHub z implementacjami referencyjnymi w Pythonie i Androidzie. Można go zintegrować z dowolnym frameworkiem agentycznym — ADK Google, LangChain, własnym rozwiązaniem. Nie wymaga konkretnego dostawcy AI ani konkretnej bramki płatniczej.
Dla operatorów płatności i banków: AP2 wprowadza nową sygnaturę w danych transakcji — informację o trybie agentycznym i o poziomie obecności użytkownika. Pozwala to na właściwe zarządzanie ryzykiem, compliance z SCA i PSD2, oraz budowanie nowych modeli oceny ryzyka dla transakcji agentycznych — które mają zupełnie inny profil ryzyka niż transakcje ludzkie.
Otwarte pytania
AP2 rozwiązuje problem autoryzacji i autentyczności. Kilka pytań pozostaje otwartych.
Odpowiedzialność: jeśli agent mimo poprawnego Cart Mandate kupi złą wersję produktu — kto odpowiada? Użytkownik? Deweloper agenta? Merchant? Protokół dostarcza dowody, ale nie definiuje ram odpowiedzialności. To jest zadanie dla regulatorów i umów, nie dla specyfikacji technicznej.
Ciemne wzorce: AP2 nie chroni przed merchantem, który manipuluje agentem przez treść oferty — ukryte opłaty, mylące opisy, niejasne warunki subskrypcji. Mandat potwierdza, że użytkownik autoryzował zakup tego co widział — ale nie weryfikuje, czy to co widział było uczciwe.
Kryptografia kwantowa: długoterminowe bezpieczeństwo mandatów opartych na ECDSA będzie wymagało migracji do algorytmów odpornych na komputery kwantowe. AP2 jest zaprojektowane modularnie, żeby umożliwić tę migrację — ale to praca na lata.
AP2 to nie koniec historii bezpieczeństwa agentycznego handlu. To pierwszy poważny rozdział.