AI导购走到付款，智能体支付真的出事了

“一张错误二维码暴露的，不只是模型幻觉，而是当支付开始从“人点按钮”转向“系统理解意图”之后，整个交易链条都在被重新改写。”

文丨之家哥

出品丨支付之家 · 深度

深夜，人工客服已经下线，一位企业负责人急着给三名员工补买团体意外险，于是把希望交给了AI。

模型很快给出方案、官网入口和报价，流程看起来顺得几乎没有停顿。接下来的那一步出了问题。AI继续给出付款二维码，1618元付出后，保单没有生成，钱却进了一个与保险业务无关的个人账户。涉事平台随后回应称，问题由多轮对话后的模型幻觉引发，相关功能已修复。

这件事的分量，不在1618元本身。

更关键的是，支付之家此前反复提醒的智能体支付风险，第一次沿着真实交易过程落到了地上。

过去围绕AI导购、AI付款、智能体支付的讨论，很多还停留在趋势、设想、协议和演示层面。这一次，AI给出的已经不是普通建议，而是付款二维码、支付动作和付款后的状态回复，资金也真的沿着这条路径流了出去。

争议随之从“回答准不准”，推进到了“钱该付给谁、谁该为此负责”。

AI已经走到支付前台，问题不止于幻觉

把这起事件仅仅想象成“AI又幻觉了”，会把问题想得太浅。

模型幻觉当然存在，平台也用了这个口径解释事故成因。公开报道中的专家观点提到，训练数据庞杂、外部信息过滤不够彻底、模型对二维码背后的金融流向缺少真实理解，都会把系统推向错误输出。技术层面的成因可以讲清楚，实际的执行却不能停在这里。

因为当AI已经开始给出付款码、指定收款对象、承接付款后的状态追问时，它已经从信息服务延伸到了交易前台。

交易前台和信息问答之间，隔着一条很硬的线。推荐错了一本书，代价可能只是一次点击浪费；给错了付款入口，后果会立刻变成真实资金流动。很多人谈智能体支付时，总把注意力放在“自动扣款”“自主下单”这些动作上，好像风险要等到AI真的按下最后那个支付按钮才会出现。

现实给出的答案更早，也更直接。先暴露出来的，是系统先替用户回答了“钱该付给谁”。

本案里有一个细节尤其需要留意，付款人并非没有疑虑。他在付款时已经看见二维码指向个人账户，判断一度出现停顿，最后还是付了。

问题不在一时疏忽，而在对话的惯性已经形成。

官网链接、方案描述、价格区间、保单文本、付款提示，这些内容连续堆叠后，用户对单一异常点的警惕，往往会被整段流程制造出的可信感压下去。付款后，模型还继续给出“保单已成功生成”“系统延迟，不影响保单有效性”这类回复，异常暴露也被继续往后推。

过去，用户进入支付页面之前，通常还会经历商户页、订单页、确认页、收银台等多个节点，每一个节点都在帮助用户再次确认交易对象、交易用途和支付后果。

到了AI导购场景，多层页面被压缩进一场对话，信息变得更顺，切换变得更少，怀疑和复核的空间也随之收窄。对话越像人工服务，用户越容易把模型输出的付款信息当成“平台已经核过”。

Visa 在关于 agentic commerce 的研究中写到，现有支付基础设施、风控、支付流程和合规框架长期围绕“人始终在环”设计，到了 AI-led 场景，这些环节都需要重做。

支付之家此前的提醒，这次被现实验证了

支付之家此前围绕智能体支付、AI付款、支付入口迁移、支付权限外放，已经连续写过多篇文章。

那些文章切口不同，落点其实很集中。

一个是支付入口正在从传统页面和收银台，往对话框、推荐流和任务助手里移动。一个是交易参与方正在变化，很多场景里，先接触用户、先组织信息、先推动决策的，已经不再是商户页面或人工客服，而是模型本身。再一个是支付权限的交出，开始不再表现为一次明确授权，而是被拆进连续对话、默认推荐和顺滑流程之中，用户往往还没意识到，关键判断已经被系统提前替自己做了。

这些判断，在过去更像是对未来支付形态的一轮提前拆解。那时讨论最多的是，支付会不会从“界面触发”转向“意图触发”，用户一句话下达需求后，系统会不会自己去找商品、比价格、选路径、接付款。

支付之家反复强调过，真正需要先解决的，从来都不是技术能不能把流程做顺，而是确认、授权、对象识别和责任边界能不能跟得上。

因为一旦支付入口从页面前移到对话，很多原本分散在订单页、确认页、收银台里的核验动作，就会被压缩、被省略，甚至被用户在不知不觉中跳过。

这次事件把那条线一下子拉近了。它没有发生在复杂的自动扣款场景里，也没有发生在完全自主执行的智能体采购里，而是落在一个看上去很普通、也最容易被忽视的环节上。

用户让AI帮忙找保险，AI给出方案、官网入口和付款码，整个过程在表面上没有明显断裂，真正出问题的地方，出现在“这笔钱究竟该付给谁”上。

报道显示，付款人是在补充完投保信息后收到模型给出的付款二维码，支付1618元后迟迟查不到保单，随后才发现钱款流向了无关第三方账户。

过去支付之家写“支付入口迁移”时，讨论的还是入口位置变化；写“支付权限被交出去”时，讨论的是授权意识变薄；写“支付开始听懂人话”时，讨论的是系统从执行工具转向交易助手。

到了这次，前面这些判断终于在同一件事里碰头了。入口前移了，权限松动了，确认变薄了，交易对象也开始由模型参与组织和指引，风险随之落到了真实付款上。

支付行业并不是到了今天才开始意识到这件事。

就在2026年4月2日，中国银联已在上海正式发布《智能体支付开放协议框架》（APOP），并完成5笔生产系统验证交易。银联把授权、真实性、问责和风险管理明确放进框架设计，本身就说明行业已经看到，智能体支付最难处理的不是“付款动作能不能完成”，而是“付款对象能不能确认、授权边界能不能固化、错误交易由谁兜底”。

APOP 框架专门围绕智能体身份管理、意图管理、用户身份管理、支付授权管理构建能力，并把合规可控、安全为要、信任为基、广泛兼容作为设计原则。

Google 已把 Agent Payments Protocol 定义为代理与商户之间进行安全、合规交易的开放协议，并明确提出，它要解决的是授权、真实性、问责和风险管理问题；该协议还支持银行卡、稳定币和实时转账等多种支付方式。国际行业推进的，早就不只是“AI能不能付款”，而是“AI付款时，授权怎么固定、对象怎么确认、出了问题谁来负责”。

国内这起个案的价值，就在于它把这些原本分散在趋势讨论里的难点，提前压缩进了一次真实错付里。

很多问题过去还能停留在想象里，这次已经顺着付款动作，摆到了行业面前。

智能体支付最先失守的是“钱该付给谁”

围绕智能体支付，市场最容易先讨论效率。能不能更快下单，能不能自动比价，能不能一句话完成采购，能不能让AI替用户跑完整个支付过程。

这些讨论都很热闹。更早暴露出来的，却是另一个问题：钱该付给谁？

这个问题听上去基础，放到AI导购和智能体交易里，反而最难。

原因并不复杂。

商品信息、价格区间、服务说明、方案比较，这些内容天然带有模糊空间。模型给错了，用户还有机会靠常识、经验、对比和进一步搜索去纠偏。

收款对象没有同样的容错空间。主体一旦错了，订单绑定会断，资金用途会断，售后路径会断，责任归属也会跟着断。

这起事件里，收款二维码被怀疑来自个人早年公开发布在博客或开源代码库里的内容。模型把一个和当前交易无关的支付信息，拼进了一个看似可信的保险购买过程。

问题不在二维码来自哪里，而在于系统没有能力也没有机制去确认，这个二维码是否属于当前这笔交易应当对应的收款主体。

很多人会说，用户明明看到是个人码，为什么还要付。这种追问很容易把责任重新压回用户身上，却没有真正理解AI导购改变了什么。

过去用户在陌生商户页面看到个人码，警惕心会很高。现在情况不同，二维码不是突然跳出来的，它前面已经接上了方案推荐、官网链接、价格解释、保单描述、付款提示和系统继续交流。

用户面对的不是一张孤立的个人码，而是一整段被AI整理得足够顺滑的交易过程。当多个环节都看起来成立时，用户对单一异常点的警觉，往往会被整体过程的可信感稀释。

这也是为什么，未来的支付确认机制不能只确认金额。只写一句“是否确认支付1618元”，已经不够。

智能体支付场景下，确认页至少要把收款主体、服务提供方、订单号或保单号、用途描述、退款路径、是否来自平台受控接口这些信息摆在更前面。

确认机制也应当是差异化的。收款方如果是个人账户，而业务场景却是对公保险、医疗缴费、公共服务或理财申购，弹窗层级、风险提示、按钮文案都不该与普通付款保持同一套交互。

必要时，系统应直接中断交易，并以高优先级提示明确指出当前收款账户与业务场景不匹配。

这不是给用户制造麻烦，而是用必要的确认阻力，对冲AI带来的流程惯性。

Google 对 AP2 的设计说明里，已经把“证明用户给予特定授权”“让商户确认代理请求准确反映用户真实意图”“在错误或欺诈交易发生时确定问责”写成了协议要解决的核心问题。

这笔1618元的错付，已经把问题讲得足够直白。

接下来真正需要回答的，不是AI为什么会出错，而是支付体系该在哪些位置把门重新立起来。今天先出问题的是一笔保费，明天也可能是医疗缴费、企业采购、理财申购、会员续费和跨境付款。

问题不在金额，在于路径已经跑通了。

“模型幻觉”解释了技术原因，交易责任仍需落地

平台回应把问题归因为“模型幻觉”，从技术角度看并非没有依据。

公开报道中的专家也提到，模型训练数据既包含文字，也可能包含图片和二维码；过滤敏感词，不等于对图片里隐藏的支付信息做了足够彻底的提取、识别和拦截；模型在输出时也无法真正理解二维码背后的金融流向和主体归属。

这个解释说明了事情为什么会发生，它没有回答另一个更重要的问题：事情发生之后，责任该怎么划分？

这里至少有三层责任不能被“幻觉”一笔带过。

第一层是模型层责任。系统为什么能调出与当前交易无关的个人二维码。

第二层是产品层责任。为什么在保险、支付这样直接关系到财产安全的场景里，系统没有把支付信息锁进官方接口、签约商户库或白名单里。

第三层是交互层责任。为什么付款完成后，系统没有优先引导用户去官方查单、人工复核或异常申诉，而是继续给出“保单已成功生成”“系统延迟，不影响保单有效性”之类会让用户进一步放松警惕的回复。

这三层责任里，产品层最值得重视。很多平台习惯把自己界定成内容工具、问答工具、搜索助手，似乎只要交易动作最终由用户自己完成，平台就停留在信息提供者的位置上。

到了这起个案，这种界定已经不够了。当系统开始给付款二维码、收款对象、付款提示和付款后状态说明时，它已经深度参与了一笔交易。

当平台把AI作为一项面向用户的交易辅助服务推出，它就不再只是中性的信息通道。

无论错误付款码来自模型幻觉、外部脏数据还是上下文误判，平台对高风险支付信息仍负有前置约束和安全保障义务。

国际市场围绕 agentic AI 的治理讨论，已经越来越明确这条线。

英国政府 2026 年 3 月发布的《Agentic AI and consumers》指出，agentic AI 会给消费者保护带来新的透明度、激励一致性和问责问题。同期发布的《Complying with consumer law when using AI agents》则写得更直接。消费者法并不在乎顾客接触到的是人还是AI代理，企业对AI代理行为承担的责任，与其对员工行为承担的责任没有本质区别；如果AI代理做了违法的事，企业仍然负责。企业还需要持续监测错误、偏差、投诉和非预期结果，并在发现问题后迅速修正。

这对国内支付行业是个很实用的参照。

高风险场景里，问题不会因为“系统自己想出来的”就自动变轻。只要支付入口和收款对象已经被系统碰到了，责任就不能停在“模型还不完美”这一步。

技术局限可以被解释，交易后果不能无人承接。

国际市场已在补护栏，中国市场该补哪几道门

国际市场对智能体支付、AI付款的讨论，已经不只是“会不会发生”，而是“风险先暴露在哪里、谁来承担责任、护栏该怎么补”。

到目前为止，公开、可核验、已经明确落到消费者真实支付损失的大规模案例还不算多，但风险预警已经非常密集，现实个案也开始出现。

Visa 在 2025 年底的风险文章里写得很明确，agentic commerce 会带来新的欺诈与安全挑战，包括恶意商户诱导AI购物代理在伪造但看起来真实的店铺完成购买、诈骗网站部署对话式AI代理来拖延受害者联系银行，以及AI代理被操纵后影响交易安全。Visa 还提到，地下黑市里关于“AI Agent”的讨论量在六个月里增长了 450% 以上。

比起已经被公开坐实的大额支付事故，国际市场目前更常见的是攻击面已经成形。

Visa 在《The rise of Agentic Commerce》中写到，当前大多数支付体验、风险控制、法律框架和用户界面都建立在“人始终在环”的假设上，而在AI主导的环境里，这个假设未必继续成立；要支持这种变化，行业需要重新思考代理如何与支付生态安全、透明、规模化地互动。

Google 也在相关文章里把 AP2 定位为建立 AI 原生商业信任层的开放协议，目标正是让代理型支付建立在可验证授权和可信交互之上。国际市场已经进入一边修路、一边补护栏的阶段。

放回中国市场，真正该补的，不是一句更醒目的免责声明，而是几道门。

第一道门是收款对象门。凡是涉及保险、医疗、理财、证券、缴费、采购这类高风险场景，收款对象都不该由开放语料自由生成。系统给出的收款码、付款地址、账户信息，必须来自官方接口、签约商户库、受控白名单或经过强校验的交易系统回传。模型可以解释产品，可以整理信息，可以协助用户确认需求，不能凭上下文去猜收款主体。

第二道门是订单绑定门。没有真实订单，没有正式合同，没有保单号、产品号、服务编号、支付凭证映射，就不该给出支付动作。今天这起事件里，用户是在对话中先看见了一份像保单的内容，后面才接到付款码。如果订单绑定机制足够硬，系统在没有真实保单记录、没有与保险公司后台完成核验之前，就不该把付款动作往前推。

第三道门是二次确认门。确认不能只确认金额，还要确认主体、用途、订单、渠道和退款路径。用户一旦面对个人账户收款，而当前购买场景又是保险、医疗、理财、公共缴费这类本应对应正式机构收款的业务，系统应把异常提示拉到更高优先级，必要时直接中断交易，让用户转向人工复核或官方页面。

第四道门是异常阻断门。用户一旦开始追问“查不到订单”“没有保单”“付款后无回执”“为什么系统显示成功但官方查不到”，系统要优先切换到核验与申诉，而不是继续安抚。今天这起事件里，付款后系统仍在输出“正常化”回复，已经说明这一层的阻断逻辑还很弱。

第五道门是责任追溯门。谁给付款入口，谁指定收款对象，谁保存日志，谁承接争议，谁先响应用户损失，必须更早讲清楚。只要责任链条模糊，平台就容易把问题还原成一句“模型幻觉”，用户也容易在出事后不知道第一时间找谁。中国银联已经发布《智能体支付开放协议框架》，这说明国内对智能体支付的治理，已经不再停留在概念讨论，而是在向授权固化、对象确认、过程留痕和责任落点更清晰的方向推进。

智能体支付当然会继续往前走，市场不会因为一笔错付就停下。

真正该做的，是把边界往前提，把验证做扎实，把责任说清楚。导购可以交给AI，付款对象不能交给AI自由生成；回答可以由模型来写，支付入口必须来自受控系统；交易可以更顺，确认不能更软；技术局限可以被解释，交易后果必须有人承担。

国际市场已经在一边修路、一边补护栏，中国市场也绕不开这些课题。

智能体支付不是不能做。

问题出在模糊的收款对象识别、模糊的订单绑定、模糊的确认机制和模糊的责任边界。如果这些问题还没有被钉牢，越往前推，风险只会越早暴露。

幻觉可以解释模型为什么答偏，解释不了用户的钱为什么付错，也覆盖不了平台该补上的那几道门。

对所有准备把AI推进支付前台的平台、商户、支付机构和场景方来说，这已经不是一道概念题，而是一道现实题。

这里是支付之家，关注支付表象之下的规则差异与逻辑变化，提供支付科技领域增量信息。

来源丨支付之家(ZFZJ.CN)·之家哥（观点内容仅供参考）

– – –

“智能体支付”相关阅读：

智能体支付步入深水区，银联先把最难的边界挑明了

豆包开始带货，支付入口大迁徙正在上演

支付行业突然发现，对手已经不是“人”了

比“养龙虾”更危险的，是你的“支付权限”被轻易交出去了……

微信支付发布AI接入工具箱，基础支付与商品券Skill先行落地

当支付开始“听懂人话”，会发生什么？丨支付学院