Wenn KI-Agenten einkaufen: Was Shop-Architekturen heute noch nicht können

Wie KI-Agenten Checkout-Flows technisch traversieren

Am 13. Februar 2026 gab Alipay per Business Wire bekannt, dass sein KI-Bezahldienst AI Pay in der Woche vom 5. bis 11. Februar über 120 Millionen Transaktionen verarbeitet hatte. Keine davon wurde von einem Menschen ausgelöst. Alle von autonomen KI-Agenten.

Das ist kein fernöstliches Nischenphänomen. Googles Universal Cart und American Express ACE bauen dieselbe Infrastruktur gerade für westliche Märkte auf. Die Grundfrage für jeden Betreiber einer digitalen Handelsplattform ist nicht mehr, ob agentische Transaktionen kommen, sondern ob die eigene Architektur erkennt, wenn sie eintreten.

Ein KI-Agent operiert auf API-Ebene. Er sendet HTTP-Requests direkt gegen den Checkout-Endpoint, authentifiziert sich über ein Token und übergibt strukturierte Kaufparameter. Er erzeugt keine Mausbewegung, keine Verweildauer auf der Produktseite, kein Cookie-Profil. Die Shop-Infrastruktur sieht eine technisch korrekte Anfrage, die sich in nichts von einer regulären API-Integration unterscheidet. Ob dahinter ein Mensch oder ein autonomes System steht, ist im Request selbst nicht kodiert. Er identifiziert sich nicht als Mensch, weil kein System ihn danach fragt.

Fraud-Prevention-Systeme, die auf menschlichen Verhaltensmustern kalibriert sind, sehen die Transaktion als unauffällig. Das einzige Signal, das fehlt, ist die menschliche Reibung. Genau das ist das strukturelle Problem.

Im B2B verschärft sich die Situation. Ein Beschaffungsagent kann heute technisch 100.000 SKUs in einem Durchlauf verarbeiten und gleichzeitig einen zweiten Agenten mit der Konditionenverhandlung bei drei verschiedenen Lieferanten beauftragen. Die einzelne Transaktion sieht dabei völlig regelkonform aus. Das Problem ist nicht der Request, sondern der fehlende Kontext darum: Wer hat den Agenten beauftragt, in welchem Rahmen, und mit welchem nachweisbaren Mandat?

Drei strukturelle Schwachstellen heutiger Shop-Architekturen

Session-basierte Fraud-Detection erkennt agentische Transaktionen nicht. Klassische Anomalie-Erkennung sucht nach Abweichungen vom menschlichen Verhalten: ungewöhnliche Klickpfade, auffällige Kaufmengen, geographische Sprünge. Ein Agent hat kein menschliches Verhalten. Er hat kein Session-Verhalten überhaupt. Er sendet einen strukturierten API-Aufruf, der technisch einwandfrei aussieht.

Cookie-basierte Consent-Logik greift ins Leere. Europäische Shop-Architekturen haben jahrelang in DSGVO-konforme Consent-Mechanismen investiert. Diese Mechanismen setzen voraus, dass ein Nutzer einen Browser bedient, Cookies akzeptiert oder ablehnt und eine informierte Entscheidung trifft. Ein Agent tut keines davon. Die gesamte Consent-Infrastruktur ist auf einen Akteur ausgelegt, der nicht mehr der einzige Käufer ist.

Das Mandatsproblem ist ungelöst. Wenn ein Agent kauft, stellt sich die Haftungsfrage: Wer hat den Kauf autorisiert? Unter welchen Bedingungen? Mit welchen Kaufgrenzen? Keine heutige Standard-Shop-Architektur erfasst ein strukturiertes Mandat. Das ist kein technisches Versäumnis, sondern ein konzeptionelles. Die Architektur wurde für Personen gebaut, nicht für beauftragte Softwareagenten.

Ein Autonomie-Framework zur Risikoeinschätzung: Level 0 bis 5

Für die Einschätzung des eigenen Risikoprofils ist eine Unterscheidung nach Autonomiegrad sinnvoll. Das folgende Framework überträgt Reifegrad-Modelle aus der Automobilindustrie, konkret das SAE-J3016-Prinzip, auf agentische Handelstransaktionen.

Ab Level 3 verlassen Transaktionen den Bereich, für den Checkout-Infrastruktur, Fraud-Prevention und Consent-Logik entwickelt wurden. Alipay AI Pay operiert heute mehrheitlich auf Level 3 und 4. Level-5-Szenarien sind in B2B-Beschaffungsprozessen bereits beobachtbar. Die Frage, auf welchem Level die eigene Plattform heute Transaktionen empfängt, ist keine theoretische.

Konkrete Architekturanforderungen

Die drei Schwachstellen oben haben konkrete Gegenmaßnahmen. Sie erfordern keine vollständige Neuentwicklung, aber sie erfordern eine bewusste Entscheidung auf Architekturebene. Die folgende Tabelle zeigt, was auf jeder Systemschicht nötig ist:

Das Ziel ist nicht, agentische Transaktionen zu verhindern. Sie sind ein legitimer und wachsender Kanal. Das Ziel ist, sie sauber zu erkennen, korrekt zu protokollieren und mit einem nachweisbaren Mandat zu verbinden. Wer das heute baut, hat einen Vorsprung. Wer wartet, bekommt es als Compliance-Pflicht.

Ein Agent Risk Score, also eine Validierungsschicht, die vor jeder Transaktion Identität, Mandat und zugelassene Zahlungsverfahren prüft, ist die naheliegende operative Antwort. Payment Service Provider, die diesen Score als Dienst anbieten, besetzen eine Torwächterposition, die nachträglich nicht zu replizieren ist.

Regulatorischer Ausblick: EU AI Act, EBA und Korea als Referenzmodell

Südkorea hat als erstes Land weltweit einen umfassenden KI-Regulierungsrahmen in Kraft gesetzt. Der AI Basic Act, gültig seit dem 22. Januar 2026, verankert ein Prinzip, das für Handelstransaktionen unmittelbar relevant ist: Der Staat definiert den Haftungsrahmen, die Industrie entwickelt den operativen Standard. Für agentische Zahlungen bedeutet das, dass Mandatsprüfung und Identitätsvalidierung branchengerecht ausgestaltet werden müssen, bevor der Regulierer eingreift. Korea ist kein Sonderfall. Es ist ein Vorgriff.

Die EBA-Consent-Frameworks wurden für menschliche Nutzer entworfen. Sie regeln, wie eine Person einer Zahlung zustimmt, starke Kundenauthentifizierung vorausgesetzt. Für einen Agenten, der im Auftrag einer Person kauft, existiert kein vergleichbarer europäischer Standard. Das ist keine Aussage über regulatorische Absichten, sondern über den aktuellen Stand. Die EBA-Regelwerke wurden konzipiert, als autonome Agenten noch kein operativer Kanal waren.

Der EU AI Act reguliert Risikokategorien von KI-Systemen. Er klassifiziert, welche Systeme als hochriskant gelten und welche Anforderungen an Transparenz, Dokumentation und menschliche Aufsicht gestellt werden. Was er nicht regelt, ist Transaktionsarchitektur. Wer auf einen europäischen Standard für agentische Zahlungen wartet, wartet auf etwas, das noch nicht existiert und dessen Entstehung im AI Act nicht angelegt ist. Das ist kein Argument zu warten. Es ist das Argument, jetzt zu bauen.

Die Plattformen, die heute Identität und Mandat von Agenten sauber erfassen, werden den Standard definieren, den Regulierer später kodifizieren. Das ist kein strategischer Optimismus. Das ist das Muster, das sich bei PSD2, DSGVO und dem koreanischen AI Basic Act jedes Mal wiederholt hat: Wer den Standard vor der Pflicht baut, bekommt ihn als Wettbewerbsvorteil. Wer ihn danach baut, bekommt ihn als Bürokratiekostenposition.

Agentic Commerce findet heute statt. Die Entscheidung, ob die eigene Architektur darauf vorbereitet ist, wird nicht von der Regulierung getroffen. Sie wird vom nächsten unerkannten Agenten-Kauf getroffen, oder von dem Unternehmen, das die Validierungsschicht als Erstes anbietet.

Quellen

Alipay. (2026, Februar 13). Alipay AI payment exceeds 120 million transactions in one week as agentic commerce accelerates in China [Pressemitteilung]. Business Wire. https://www.businesswire.com/news/home/20260213770962/en

Cooley LLP. (2026, Januar 27). South Korea’s AI Basic Act: Overview and key takeaways. https://www.cooley.com/news/insight/2026/2026-01-27-south-koreas-ai-basic-act-overview-and-key-takeaways

Littler Mendelson. (2026, Februar 24). Understanding South Korea’s new AI law: Key considerations for multinational employers. https://www.littler.com/news-analysis/asap/understanding-south-koreas-new-ai-law-key-considerations-multinational-employers

The Paypers. (2026, April 22). Alipay extends AI Pay to enable autonomous agent payments for OpenClaw-type AI tools. https://thepaypers.com/payments/news/alipay-extends-ai-pay-to-enable-autonomous-agent-payments-for-openclaw-type-ai-tools