Spolupráce Visa s OpenAI dotahuje agentní obchodování na úroveň globální platební sítě. Demonstrace útoku na Bunq ale ukazuje, že tokenizace a limity řeší jen polovinu problému.
Partnerství Visa s OpenAI má dotáhnout agentní obchodování na úroveň globální platební sítě. Demonstrace útoku na Bunq pojmenovaná One-Cent Attack ale ukazuje, že tokenizace a limity řeší jen polovinu problému.
Visa a OpenAI hrají o platební infrastrukturu
V minulých týdenících jsme sledovali, jak AI přestává být buzzword a začíná řídit peníze. Stripe dal agentům platební infrastrukturu, Dave úvěrové rozhodování. Pak Robinhood pustil AI agenty na burzu a dal jim i kreditní kartu.
Začátkem června ale i Visa přidala další díl. Visa Payments Forum v San Francisku oznámila strategické partnerství s OpenAI v rámci své iniciativy Visa Intelligent Commerce. Cílem je propojit AI agenty s globální platební sítí Visa.
Co partnerství fakticky umí
Visa Intelligent Commerce není nový brand, ale partnerství ho dotahuje na jinou úroveň. Vývojáři a obchodníci dostávají způsob, jak přijímat platby iniciované AI agenty na pokyn uživatele. Agent si nakoupí letenku, doplní spotřební materiál, zaplatí předplatné. Bez toho, aby uživatel zadával údaje z karty pokaždé znovu.
Bezpečnostní vrstva stojí na čtyřech pilířích. Tokenizovaná platební pověření, takže agent nikdy nevidí číslo karty. Autorizace v reálném čase přes Visa síť. Výdajové limity nastavené uživatelem. Povolené kategorie obchodníků, mimo které agent nakoupit nesmí. U citlivějších transakcí přibývá dodatečné schválení.
Jack Forestell, šéf produktu Visa, oznámení rámcoval jako start nové éry nákupů v režii AI agentů. Marco Mahrus z OpenAI navázal tezí, že spolupráce má dotáhnout konverzační rozhraní a Codex do automatizace běžných nákupních postupů.
Otázka, kterou Visa neřeší
Visa řeší jednu konkrétní vrstvu: Autorizaci. Co a kolik smí agent zaplatit. Otevřená ale zůstává ta druhá vrstva. Kdo a co řídí samotného agenta v okamžiku, kdy se rozhoduje. V posledních týdnech se na ni objevila odpověď.
One-Cent Attack
Případ známý jako One-Cent Attack zveřejnili výzkumníci ze společnosti Blue41 v rámci responsible disclosure. Demonstrovali zranitelnost u nizozemské Bunq, druhé největší digitální banky v Evropě s více než 20 miliony zákazníků.
Mechanika je až triviálně levná. Útočník pošle do cílového Bunq účtu SEPA převod ve výši centů. Do popisu transakce ale vloží instrukci určenou AI asistentovi banky. Když si oběť kdykoli později otevře aplikaci a zeptá se asistenta na cokoli ohledně transakcí, asistent načte popisy plateb do svého kontextu. Tam přečte i podstrčený příkaz. A poslechne ho. V demonstraci tak vygeneroval realisticky vypadající phishingovou zprávu přímo v UI banky odkazující na reálná uživatelská data.
Princip je důležitější než konkrétní incident. AI model nedokáže rozlišit instrukci od provozovatele a obsah z dat. Pro něj je všechno jeden proud textu.
Problém, který možná nikdy nezmizí
Britská kyberbezpečnostní agentura NCSC vydala v prosinci 2025 guidance, ve které problém pojmenovala explicitně. Prompt injection se podle ní možná nikdy plně neodstraní.
Důvod je strukturální. Model dostane všechen text dohromady. Instrukce od provozovatele i obsah z internetu, e-mailu nebo popisu transakce. A nemá vrozený způsob, jak je odlišit. Útočník přesně tu vlastnost využívá. Odnaučit to znamená připravit model o velkou část jeho užitečnosti. NCSC navíc autonomní agenty v bankingu označuje za rizikovou oblast.
Kolik a kde vs. proč
Když se vrátíme zpět k partnerství, tak vidíme jasný rozdíl. Tradiční bankovní a karetní zabezpečení (tokeny, výdajové stropy, povolené kategorie obchodníků) řeší pouze to, kolik a kde může agent utratit. Neřeší to, proč k útratě došlo.
Pokud útočník zmanipuluje agenta k akci, která se vejde do uživatelem povolených limitů, systém vrstvy Visa ji propustí. Z pohledu detekce podvodů vše vypadá jako legitimní a autorizovaný požadavek.
Vrstvu, ve které se agent rozhoduje, Visa neřeší. Tu zatím systémově neřeší nikdo. Sektor staví dvě věci paralelně. Kapacitu agentního obchodování. A útočnou plochu, na kterou hotové odpovědi nejsou.
Závod, který sektor zatím prohrává
Visa a OpenAI právě otevírají brány nové éře, která má ale zásadní trhlinu. Dokážeme omezit, kolik AI utratí, ale neumíme jí zabránit, aby se nechala zmanipulovat.
Zatímco integrace postupují rychle, tak fundamentální ochrana LLM modelů proti prompt injection se zdá, že přešlapuje na místě. Až časem uvidíme, jestli tento rozdíl v rychlosti růstu povede k nárazu nebo se najde řešení.
