欺诈猎手：AI反欺诈的尽头是智能体安全

Y Combinator（YC）作为全球最有影响力的创业孵化器及投资机构之一，会在每季度发布一个创业需求清单（RFC, Requests for Startups），即是YC的最新投资方向，也逐渐成为行业的热点风向标。2026年春，YC发布了最新的RFC清单（完整清单见Reference 1），其中一项“政府欺诈猎手基础设施”（Infra for Government Fraud Hunters）引起了我们的共鸣。成立15年来，通付盾在能源、金融、政府等行业的反欺诈领域持续深耕，深知其工作的艰辛坎坷，而智能体时代的来临让我们相信，反欺诈领域的格局正在产生根本性的变化。

反欺诈领域的“非对称竞争”

反欺诈本质上是一场攻防博弈。在过去相当长的时间里，这场博弈的主动权往往掌握在攻击者手中。核心原因在于一种深层次的“成本不对称”——当防守方还在权衡合规风险与技术可行性时，攻击者早已利用成本优势发起了下一轮试探。

第一层不对称，在于单次失败的代价。对于黑灰产团伙而言，一次攻击被拦截不过是浪费了若干IP、一批虚假账号，或者一套自动化脚本。这些资源的获取成本极低，甚至可以规模化批量生产。而对于银行、政务平台或大型企业来说，一次防御失败意味着什么？可能是数百万用户的隐私泄露、直接的资金盗用损失，以及难以估量的品牌声誉崩塌。这种“攻击者可以输一百次，防守方一次都不能输”的局面，构成了传统反欺诈最沉重的枷锁。

第二层不对称，在于技术创新的“负担”。黑灰产是新技术最激进、最不计后果的尝鲜者。当深度伪造（Deepfake）刚刚出现时，他们已经开始用于突破人脸核验；当自动化流程工具流行时，他们迅速将其改造为“打码”和“撞库”的利器。他们不需要考虑新技术的伦理边界，不需要通过层层合规审批，更不用顾及是否会误伤正常用户。反观防守方，尤其是金融、政府等关键领域的机构，任何一项新技术的引入都必须经历漫长的安全评估、数据隐私审查和业务流程适配。当一个反欺诈模型历经千辛万苦终于上线时，攻击者可能早已转向了新的绕行路径。

然而，人工智能，特别是智能体（Agent）技术的成熟，正在为防守方提供一次历史性的翻盘机会。智能体不是单一功能的算法模型，而是能够自主感知、决策、执行任务的智能系统。当大型政企真正迈入智能化时代，它们将构建起由成千上万个智能体协同工作的反欺诈体系。

这一体系的核心优势在于“规模制胜”。单个黑灰产团伙即便利用AI，其可调用的算力、数据和知识储备也远无法与一个国家级的金融网络或大型政企平台相比。智能体可以7×24小时不间断地学习新的欺诈模式，实时联动全网的威胁情报，在毫秒级内调度数百个数据源进行交叉验证。它们能够模拟攻击者的思维，主动探测潜在风险，甚至自主生成防御策略并下发执行。

更重要的是，智能体网络具有“群体智能”：一个智能体在某处识别出一种新型欺诈手法，整个网络的所有节点都能瞬间同步防御能力。这种进化速度将首次超过黑灰产的手动迭代。当防守方的智能体军团能够以前所未有的广度和深度聚合资源、共享情报、协同响应时，非对称竞争的天平便开始向防守方倾斜。

智能体时代，反欺诈将不再是“修补城墙”的被动游戏，而是一场“智能对抗智能”的体系化战争。拥有最庞大智能体网络的一方，将成为战场上真正的主导者。

AI原生业务模型：智能体网络效应

智能体时代的反欺诈体系核心在于以“AI原生”思维构建基于多智能体的业务模型。传统反欺诈往往是在既有系统上“打补丁”——新增一种欺诈就增加一条规则、升级一个模型。这种被动响应模式注定无法追上黑灰产的迭代速度。智能体时代的反欺诈必须从根基上重构：将业务节点封装为智能体，通过标准化协议编织成可协作的生态。这并非单一智能体的局部优化，而是体系化多智能体框架带来的全局重塑——当数以千计的智能体在同一框架下协同，将催生出独特的智能体网络效应，让防守方首次获得对攻击方的结构性优势：

• 智能优势：从单点对抗到涌现式智能。在反欺诈场景中，单一智能体难以应对复杂攻击链。AI原生模型将任务逐层分解：身份核验智能体验证用户真实性，行为分析智能体监测交易异常，威胁情报智能体扫描攻击源，决策智能体综合多方信息输出判断。各智能体如同领域专家，其集体决策构成“专家会诊”系统。更重要的是，群体具备自适应能力——当某个智能体识别出新型欺诈手法，知识会迅速被网络吸收，整个“智商”同步进化。黑灰产的单点突破，在涌现的群体智慧面前将失去优势。
• 数据优势：数据是反欺诈的燃料。但传统模式下数据孤岛林立，机构间因隐私合规难以互通。AI原生模型通过智能体网络实现范式突破：每个智能体拥有基于DID的数字账户，数据以“可用不可见”方式在智能体间流动。例如银行风控智能体向电信运营商号码风险智能体发起查询，后者在本地计算后返回评分，全程不泄露原始数据。基于隐私计算与区块链存证，这种共享既符合监管，又打破壁垒。随着更多智能体接入，风险特征库不断丰富，新加入者立即获得全网情报，数据飞轮加速旋转。
• 时效优势：从人工响应到毫秒级自适应协同。反欺诈是与时间的赛跑。当交易监控智能体发现异常，它会自动触发身份智能体加强认证、策略智能体调整权重、处置智能体冻结账户，全程毫秒级完成，无需人工干预。统一通信协议（如MCP）使不同厂商的智能体“讲同一种语言”，实现即插即用的协同。这种自适应联动让防守体系从被动响应进化为主动免疫系统。

安全与合规：数据隐私与AI安全边界

智能体网络赋予反欺诈体系前所未有的协同能力，但数据安全与隐私合规依然是其落地面临的最大瓶颈。与此同时，AI自身的安全隐患若被忽视，过度依赖智能体反而可能适得其反。唯有同时破解外部合规难题与内部算法风险，智能体网络才能真正成为反欺诈的可靠基石。

• 数据容器+隐私计算是数据安全与隐私合规的破局利器。反欺诈的本质是数据博弈——需要跨机构、跨行业的数据协同才能精准识别风险。然而，传统集中式共享模式既违反合规要求，又将海量敏感数据汇聚成巨大的攻击靶点。我们可以为每个智能体配备基于分布式身份标识（DID）的数据容器。容器不仅是存储单元，更是集动态访问控制、隐私计算引擎与全生命周期审计于一体的主动防御载体。数据以密态形式驻留于容器，遵循“数据不动算力动”原则：计算任务被调度至数据所在的容器或可信节点，通过全同态加密（FHE）、零知识证明（ZK）等隐私计算技术在加密状态下完成分析，确保原始数据全程“可用不可见”。
• AI自身安全是智能体时代下的反欺诈新课题。智能体并非万能，其固有缺陷可能放大风险。正如我们在“智能体不完备定理”中所揭示：不存在一种终极指令能完美约束智能体的所有行为，相同指令下可能产生矛盾输出，且其行为在复杂环境中本质“不可判定”。在反欺诈场景中，这意味着算法偏见、不可预测的“规避行为”可能误伤用户，或被黑灰产反向利用。若企业盲目信任智能体决策，取消人工复核，一旦出现系统性漏洞，后果不堪设想。例如，OpenClaw、Moltbook等行动式智能体的流行已暴露了“提示注入”、插件供应链攻击等新型威胁。因此，我们必须践行“零信任”原则：永不默认任何智能体行为可信，关键决策需经多智能体交叉验证或触发人工审核。同时，引入形式化验证为关键逻辑划定可证明的安全边界，将模糊的安全需求转化为数学规约，用定理证明器验证其不会触发歧视性规则或越权操作。只有对AI自身风险保持清醒认知，才能避免从“人防人”滑向“机防机”的失控局面。

从反欺诈到智能体安全

尽管全篇我们都在讲反欺诈，反欺诈也是通付盾从业15年来的一个重要标签，但在文章的最后我们还是想要提出一个“暴论”：AI时代下，反欺诈这个行业最终会退出历史舞台，取而代之的是“智能体安全”或者是“安全智能体”。正如消灭小偷的不是警察，而是电子支付一样，消灭欺诈的不会是传统意义上的“反欺诈系统”，而是自带内生安全的智能体网络。

这一天很快就会到来。a16z前合伙人Balaji在3月2日的万字推文提出了“硅谷关灯，中国开机”的说法，认为在AI基础大模型领域的竞争已经结束，中国将依靠开源路线将AI大模型变成水电一样的廉价基建，彻底颠覆包括反欺诈在内的传统软件行业。万物智能的时代很快就会到来，当大部分业务流程都被智能体重构，安全就不再是某个模块的责任，而是整个网络的基因。这正是通付盾“大群空间”（LegionSpace）的终极愿景：让每一个智能体从诞生起就生活在信任优先的安全体系之中。当信任成为默认配置，欺诈便失去了生存的土壤。那一天，反欺诈将不再是行业，而是所有智能体的呼吸与本能。

References:

1. Y Combinator. "Requests for Startups." Y Combinator, 2026, https://www.ycombinator.com/rfs. Accessed 2026.

2. Cheon, Jung Hee, et al. "Bootstrapping in approximate fully homomorphic encryption: a research survey." Cybersecurity, vol. 8, no. 87, Springer, 2025, https://doi.org/10.1007/s42400-025-00384-3.

3. Pan, Zhuo, et al. "A Survey of Zero-Knowledge Proof Based Verifiable Machine Learning." arXiv preprint arXiv:2502.18535, 2025.

4. Shahriar, Asif, et al. "A Survey on Agentic Security: Applications, Threats and Defenses." arXiv preprint arXiv:2510.06445, 2025.

5. Tang, Yaxin, et al. "Security of LLM-based agents regarding attacks, defenses, and applications: A comprehensive survey." Information Fusion, Elsevier, 2025.

6. Veenman, Kealan, et al. "Verifiability for privacy-preserving computing on distributed data — a survey." International Journal of Information Security, vol. 24, no. 141, Springer, 2025, https://doi.org/10.1007/s10207-025-01047-7.

本文来自微信公众号“通付盾”，作者：盾盾，36氪经授权发布。