O que é um mandato de pagamento.
Um mandato de pagamento é uma instrução pré-autorizada que permite que um agente execute uma classe específica de pagamento sem aprovação adicional. O mandato é parametrizado: pode nomear um valor máximo, um destinatário ou um conjunto de destinatários permitidos, uma janela de frequência e uma data de expiração. O protocolo AP2 primitivo do Google e vários sistemas de pagamento baseados em mandato semelhantes são construídos sobre isso.
The "approve every payment" model does not scale to agents.
Os padrões de pagamento humano assumem uma aprovação por transação: você vê o total na finalização da compra, você toca para confirmar. Agentes que precisam pagar 200 APIs em uma hora não podem funcionar dessa forma. O usuário não pode clicar em 200 confirmações e, mesmo que pudesse, a latência mataria a utilidade do agente. Algum modelo de pré-autorização é necessário.
Payment mandates formalize the pre-authorization. Instead of "approve every payment" or "approve nothing" (a static spend limit), a mandate says: "approve any payment that matches these parameters, up to this cap, until I revoke it." The user grants the mandate once; the agent executes against it many times. This is the structural primitive that turns the agent into an autonomous economic actor while still keeping the human in control of the boundaries.
Conceder, apresentar, liquidar, revogar.
- Conceder. O usuário (ou o delegado do usuário) cria um mandato através da interface do protocolo, especificando os parâmetros: valor máximo por pagamento, total máximo em uma janela, lista de destinatários permitidos, expiração. O mandato é assinado e armazenado pelo protocolo.
- Apresentar. Quando o agente precisa fazer um pagamento, ele apresenta o mandato ao processador de pagamento do destinatário como prova de autorização. O processador valida o mandato, verifica se os parâmetros de pagamento estão dentro dos limites do mandato e aceita o pagamento.
- Liquidar. A liquidação real acontece na ferrovia que o mandato especifica (stablecoin, cartão, ACH). A validação do mandato é separada da liquidação; um mandato pode autorizar pagamentos através de múltiplos métodos de liquidação se o protocolo permitir.
- Revogar. A qualquer momento, o usuário pode revogar o mandato. Apresentações subsequentes falham na validação. Pagamentos em andamento podem ou não ser concluídos dependendo das garantias de atomicidade do protocolo.
The protocol layer holds the mandate; the agent never holds the user's payment credentials directly. This is the safety property that makes mandate-based systems different from "give the agent your credit card." Compromise the agent and the worst case is the mandate's parameter envelope, not the user's full payment power.
Três formas de mandato.
Mandato de acesso à API por chamada
Um agente recebe um mandato para gastar até $0.10 por chamada em qualquer API em uma lista de permissões definida, até um total de $50 por dia. O agente chama APIs ao longo do dia; cada chamada dentro dos parâmetros do mandato liquida sem mais aprovação. Gastos acima de $50 em 24 horas são bloqueados na camada da plataforma.
Mandato de assinatura específico do fornecedor
Um agente de pesquisa recebe um mandato para pagar um fornecedor de dados específico até $200/mês, faturado em stablecoin. A fatura do fornecedor aciona automaticamente o pagamento pré-autorizado do mandato. O agente nunca precisa apresentar a fatura a um humano.
Mandato limitado de uma só vez
Um usuário concede a um agente um mandato de uso único para gastar até $500 em reservas de hotel de uma plataforma de reservas confiável. O agente pesquisa, escolhe uma opção dentro do limite e faz a reserva. Uma vez que o mandato é consumido, não pode ser reutilizado.