SAM Protocol v2.2: ein signierter Envelope für den gesamten Agentic-Commerce-Stack

Im Januar veröffentlichten wir den ersten Entwurf von SAM, einen signierten Envelope, den ein Händler unter /.well-known/sam.json ablegt, damit ein Agent vor dem Handeln prüfen kann, wer er ist. Vier Monate und viel Feedback später ist v2.2 deutlich vollständiger. Sie behauptet nicht mehr nur Identität — sie komponiert den gesamten Agentic-Commerce-Stack hinter einem signierten, zeitlich begrenzten Einstiegspunkt. Die ursprüngliche Idee hielt; die Oberfläche darum wuchs.

Von Identität zu Komposition

Die Verschiebung in v2.2 steckt im Wort komponieren. Ein Händler kann 2026 ein UCP-Fähigkeitsdokument, einen AP2-Checkout-Endpunkt, ein MCP-Tool-Manifest, einen ACP-Katalog-Feed veröffentlichen und A2A mit anderen Agenten sprechen. Das sind fünf Oberflächen, fünf Discovery-Pfade und kein einziger Ort, der sagt, welche davon echt und aktuell sind. SAM v2.2 ist dieser Ort: eine Datei, die alle referenziert und die Referenzen zusammen mit sich selbst signiert, sodass das Prüfen des Envelopes das ganze Set prüft.

Wie SAM den Stack komponiert

Jede Ebene behält ihre Aufgabe. SAM fügt nur den signierten Einstiegspunkt obendrauf:

• SAM — signierter Einstieg. Wer ist dieser Händler, was veröffentlicht er, ist es aktuell und echt, in welchen Grenzen darf ich handeln?
• UCP — Fähigkeiten. Was kann durchsucht, angefragt, bestellt werden?
• AP2 (FIDO) — Nutzerautorisierung. Hat der Nutzer diesen Kauf autorisiert?
• MCP — Tool-Aufruf. Wie ruft der Agent eine bestimmte Funktion auf?
• ACP — Katalog-Feed. Was ist auf Lager, zu welchem Preis?
• A2A — Agent-zu-Agent. Wie arbeiten zwei Agenten zusammen?

SAM ersetzt keines davon. Es macht jede Kombination an einem Ort verifizierbar.

Wie es funktioniert

• Entdecken — der Agent ruft /.well-known/sam.json ab.
• Prüfen — eine ed25519-Signatur über den gesamten Envelope, inklusive jeder Referenz, gemäß RFC 9421.
• Komponieren — der Agent folgt den Referenzen zu UCP, AP2, MCP, ACP und A2A wie veröffentlicht.
• Begrenzen — das Policy-Mandat des Händlers deklariert, was der Agent autonom darf und nicht darf, lokal ausgewertet ohne Netzwerkaufruf.
• Rückfall — werden die Grenzen überschritten oder ist ein referenzierter Standard nicht erreichbar, geht die Kontrolle über sam:human an einen Menschen zurück.

Der v2.2-Envelope

{
  "sam:version": "2.2",
  "sam:identity": { "domain": "example.com", "legalName": "Example Inc." },
  "sam:signature": { "alg": "ed25519",
                     "validUntil": "2026-08-13T00:00:00Z",
                     "value": "base64(...)" },
  "sam:composes": {
    "ucp": { "href": "/.well-known/ucp", "version": "1.0" },
    "ap2": { "supported": true, "endpoint": "/ap2/checkout",
             "mandateTypes": ["cart","payment","intent"] },
    "mcp": { "href": "/.well-known/mcp", "version": "2025-11-25" }
  },
  "sam:mandate": {
    "grammarVersion": "0.1",
    "autoExecute": true,
    "maxAmount": { "value": 200, "currency": "EUR",
                   "inclusiveOfTaxes": true,
                   "inclusiveOfShipping": true },
    "validityWindow": { "notBefore": "2026-05-13T00:00:00Z",
                        "notAfter":  "2026-08-13T00:00:00Z" },
    "agentClass": "any"
  },
  "sam:agentAuth": { "profile": "rfc9421", "algorithm": "ed25519" },
  "sam:human": { "channels": [
    { "type": "email", "value": "agents@example.com" }
  ]}
}

Im Vergleich zum Januar-Entwurf deckt die Signatur die Referenzen nun explizit ab (RFC 9421), das Mandat erhielt eine versionierte Grammatik und einen agentClass-Selektor, und die Kompositionsliste wuchs auf den gesamten Stack.

Drei Konformitätsstufen

Nicht jeder Händler braucht am ersten Tag volle Autonomie, daher definiert v2.2 eine Leiter:

• L0 — händlerbereit. version plus capabilities oder composes, plus einen menschlichen Kanal.
• L1 — agentenbereit. L0 plus eine verifizierbare Identität und Signatur.
• L2 — begrenzte Autonomie. L1 plus ein Policy-Mandat und Agentenauthentifizierung.

Jede Stufe ist für sich nützlich, und die entscheidende Regel ist einfach: Ein konformer Agent darf keine autonome wirtschaftliche Aktion gegen einen Händler unterhalb von L2 ausführen. Keine signierten Grenzen, keine autonome Ausgabe.

Zehn Zeilen zur Einführung

Ein Händler, der bereits UCP nutzt, führt SAM mit einem sam:composes.ucp-Eintrag, einer Signatur und einem Frische-Fenster ein — etwa zehn Zeilen. Kein Neuschreiben, keine Duplizierung, kein Fork. Die bestehende Agentenoberfläche wird einfach von einem Ort aus verifizierbar.

Status und Ausblick

SAM ist eine Entwurfsspezifikation, v2.2 im Mai 2026, und wir haben sie der W3C Agent Identity Registry Protocol Community Group zur Prüfung vorgelegt. Spezifikation und Referenzmaterial sind offen auf GitHub, und ein Live-Beispiel liegt auf sam-protocol.org.

Wir bauen SAM bei MerchantStamp aus demselben Grund, aus dem wir den UCP-mandate-evaluation-Vorschlag eröffneten und über die drei Ebenen, die Agentic Commerce braucht, schrieben: Die Discovery-Ebene macht die Schlagzeilen, aber Vertrauen und Identität machen autonome Transaktionen sicher. Starten Sie ein kostenloses MerchantStamp-Audit, um die darunterliegende Ebene zu prüfen — ob Ihr Katalog für Agenten überhaupt lesbar ist.