Siapa yang memberi otorisasi ini? Area abu-abu dari x402

Penulis artikel: David Christopher

Artikel diterjemahkan: Block unicorn

Keberhasilan x402 tidak lepas dari integrator asli. Program pembungkus yang tidak berizin dapat mengubah mitra potensial menjadi lawan.

Minggu lalu, Coinbase meluncurkan agentic.market, sebuah platform yang menampilkan endpoint x402, bertujuan memudahkan penemuan ekosistem x402.

Dengan menjelajahi agentic.market, Anda akan menemukan akses layanan secara real-time dan sesuai permintaan, mulai dari alat on-chain hingga API utama. Beberapa endpoint disediakan langsung oleh penyedia asli. Banyak juga yang berasal dari pihak ketiga: beberapa perusahaan membungkus API yang ada menjadi x402 (dan/atau MPP), dan mengemasnya menjadi paket alat yang dapat digunakan oleh proxy, di mana pengguna hanya perlu membayar sedikit biaya untuk mengakses melalui satu koneksi.

Metode kedua ini membuat situasi menjadi lebih kompleks. Di Agentic Market, terdapat layanan dari pihak ketiga seperti Wolfram Alpha, Google Flights, dan Amadeus (sebuah platform data perjalanan yang banyak digunakan). Saya menyoroti ketiga platform ini karena mereka sendiri belum pernah mengumumkan integrasi x402, dan syarat layanan mereka menunjukkan bahwa mereka kemungkinan besar tidak akan mengizinkan pihak ketiga membangun integrasi atas nama mereka.

Setiap endpoint yang diindeks di Agentic Market bisa jadi adalah first-party (penyedia asli langsung menyediakan API-nya), otorisasi pihak ketiga (dealer yang mendapatkan izin resmi, biasanya melalui sertifikasi formal atau program mitra), atau pihak ketiga yang tidak berizin (perusahaan menjual kembali akses API berbayar mereka tanpa izin).

Di seluruh pasar dan ekosistem x402, kita tidak dapat langsung membedakan mana yang first-party dan mana yang pihak ketiga, dan banyak endpoint tampaknya termasuk dalam kategori terakhir.

Ketentuan Kontrak

Seperti yang disebutkan sebelumnya, ketentuan dari ketiga penyedia ini membuat pengaturan pihak ketiga yang tidak berizin sangat mungkin terjadi, bahkan dalam beberapa kasus sepenuhnya meniadakan opsi lain.

Wolfram Alpha secara tegas melarang “dealer dan agregator”, melarang pengambilan data atau penggalian data dengan cara apa pun, dan melarang penjualan atau pengalihan layanan tanpa izin. Ketentuan ini tampaknya sama sekali tidak memberi ruang bagi jalur pihak ketiga yang berizin. Selain itu, setelah melihat panduan cepat untuk endpoint ini, jelas bahwa ini bukan integrasi first-party.

( Ketentuan API dalam layanan Wolfram Alpha melarang konten)

Perjanjian layanan utama Amadeus hanya mengizinkan pelanggan mengakses untuk tujuan bisnis internal, dan melarang segala bentuk “penyewaan, leasing, distribusi, penjualan, penjualan kembali, pengalihan, atau transfer lain” dari akses mereka. Setiap koneksi pihak ketiga memerlukan otentikasi dari Amadeus dan harus didokumentasikan dalam bentuk pesanan layanan resmi. Ini berarti satu-satunya cara untuk mendapatkan otorisasi pihak ketiga adalah melalui jalur ini, dan apakah endpoint yang ada memenuhi syarat ini tidak dapat dilihat dari luar.

( Pembatasan dalam Perjanjian Perjanjian layanan utama Amadeus)

Kasus Google paling khas. Google Flights tidak memiliki API yang dipublikasikan, dan Google memberlakukan perlindungan ketat terhadap data mereka.

Namun, program pembungkus pihak ketiga sedang mengemas akses ke data Google Flights, yang berasal dari SerpApi—sebuah perusahaan yang sedang digugat aktif oleh Google karena diduga melakukan pengambilan hasil pencarian dan menjual kembali aksesnya. Gugatan Google menyatakan bahwa SerpApi mengembangkan alat yang melewati kontrol akses, mengirim “ratusan juta” permintaan palsu setiap hari untuk pengambilan data, dan menjual konten berhak cipta yang disematkan dalam hasil pencarian.

Oleh karena itu, Google menggugat SerpApi karena menjual konten berhak cipta dan melewati kontrol akses mereka. Sementara itu, layanan SerpApi dibungkus oleh penyedia paket proxy yang memberikannya kepada agen dan mengenakan biaya. Ini patut dipikirkan.

( Rincian akses SerpApi melalui endpoint StableTravel)

Bagaimana Kepatuhan Terwujud

Tanpa perlu ahli hukum, dapat dilihat bahwa dinamika ini “rumit”. Kabar baiknya adalah, pola yang lebih jelas sudah ada.

MPP adalah protokol pembayaran proxy yang diluncurkan Tempo saat peluncuran mainnet mereka, menyediakan lebih dari 100 layanan yang kompatibel sejak hari pertama. Penyedia yang terintegrasi langsung dengan MPP—seperti Parallel, Stripe Climate, Browser Base, dan lain-lain—ditandai dengan lingkaran hijau di kartu mereka, menandakan mereka adalah penyedia first-party.

( Melihat katalog layanan melalui mpp.dev)

Sekitar dua minggu yang lalu, alat riset AI populer Exa mengumumkan dukungan native untuk protokol x402 di endpoint pencarian dan kontennya—menjadi penyedia first-party, dan menjalin kerjasama dengan Coinbase. Exa menyatakan bahwa memilih x402 daripada protokol proprietary karena protokol ini diawasi oleh Linux Foundation.

Hasil yang Tak Terelakkan

Saat ini, pihak luar tidak dapat mengetahui apakah sebuah endpoint adalah first-party, otorisasi pihak ketiga, atau pihak ketiga tanpa izin. Ini adalah masalah yang bisa diselesaikan, dan katalog layanan MPP—yang secara jelas menampilkan sumber setiap integrasi—adalah langkah ke arah itu.

Pengambilan data tanpa izin telah memberi tekanan besar pada penyedia layanan: beban server, biaya bandwidth, dan lalu lintas yang mereka tidak pernah setujui. Pihak ketiga yang membungkus data yang diambil dan mengenakan biaya melalui protokol x402 semakin memperburuk keadaan. Penyedia layanan menanggung semua biaya, tetapi tidak mendapatkan apa-apa.

Oleh karena itu, perlu mengidentifikasi akar masalahnya. x402 adalah protokol terbuka—seperti halnya pengembang mana pun dapat membangun berdasarkan HTTP, pengembang mana pun dapat membangun berdasarkan x402. Mekanisme pembayaran tidak dapat melacak apakah data upstream diperoleh secara sah. Tanggung jawab terletak pada pengembang yang membungkus endpoint ini untuk digunakan pengguna.

Tanpa mekanisme akuntabilitas, perkembangan x402 secara keseluruhan dapat terpengaruh secara negatif—integrator asli yang berpotensi bisa menjadi lawan, bukan peserta. Pendapatan ini seharusnya milik penyedia layanan. Integrasi asli adalah cara mereka mengklaim pendapatan tersebut, dan juga cara x402 mendapatkan legitimasi untuk berkembang.

Catatan: Hingga 25 April, Google Flights tidak lagi terdaftar di Agentic Market.