Agentic Commerce braucht drei Ebenen, nicht eine

Fast jedes Gespräch über Agentic Commerce dreht sich derzeit um Discovery: Welches Protokoll werden Agenten nutzen, um Produkte zu finden und einen Kauf abzuschließen — MCP, ACP oder UCP? Eine wichtige Frage. Aber nicht das ganze Bild. Ein Agent, der nur entdecken und kaufen kann, ohne verifizieren zu können, bei wem er kauft, die Grenzen seiner eigenen Autonomie zu verstehen oder die Produktdaten korrekt zu interpretieren, liefert ungesteuertes Risiko aus, verkleidet als Komfort.

Eine sichere Agententransaktion braucht drei eigenständige Ebenen. Sie konkurrieren nicht; sie stapeln sich. Lassen Sie eine weg, und das Ganze wird brüchig.

Ebene 1 — Discovery: Kann der Agent finden und transagieren?

Das ist die Ebene, um die alle ringen, zu Recht — ohne sie zählt nichts anderes. MCP macht die Werkzeuge und Daten eines Shops einem Agenten zugänglich. ACP (Stripe/OpenAI) und UCP (Google/Shopify) übernehmen den Checkout- und Zahlungs-Handshake. Das sind reale, ausgelieferte Standards, und Mitte 2026 koexistieren sie: Ein Händler, der auf einen einzelnen Gewinner wettet, ist über die anderen nicht erreichbar. Discovery beantwortet eine Frage — Kann der Agent an die Ware gelangen und einen Kauf abschließen? — und beantwortet sie gut. Aber sie schweigt dazu, ob der Agent dem Gefundenen vertrauen sollte.

Ebene 2 — Vertrauen und Mandat: Soll der Agent handeln, und wie weit?

Discovery sagt einem Agenten, dass er kaufen kann. Vertrauen und Mandat sagen ihm, ob er darf, in wessen Auftrag und in welchen Grenzen. Zwei Dinge zählen hier.

Erstens die Händleridentität: Bevor ein Agent transagiert, sollte er verifizieren können, dass der Händler der ist, der er zu sein behauptet, und die Grenzen verstehen, innerhalb derer er autonom handeln darf, bevor er an einen Menschen zurückgeben muss. Auf diesen Problemraum zielen aufkommende Standards wie SAM Protocol — ein signierter, auffindbarer Vertrauensdeskriptor, den ein Agent prüfen kann.

Zweitens das Zahlungsmandat. AP2 führt signierte Intent- und Cart-Mandate ein — ein kryptografischer Beleg, dass ein Käufer einen bestimmten Kauf autorisiert hat, mit einer Time-to-Live. Das Cart-Mandat ist der unbestreitbare Autorisierungsnachweis des Händlers, das, was eine strittige Agententransaktion verteidigbar macht. Doch ein Mandat ist nur so gut wie die Regeln um seinen Lebenszyklus, und diese Regeln werden noch geschrieben.

Ein konkretes Beispiel, auf das wir beim Bau eines UCP-Händlerservers stießen und in UCP-Issue #512 aufwarfen: Was passiert, wenn die TTL eines Mandats nach der Annahme des Checkout-Abschlusses, aber vor Abschluss der Zahlung abläuft — ein häufiger Fall bei asynchronen EU-Zahlungswegen (SEPA, iDEAL, Bancontact) und unterbrochenen 3DS-Challenges? Die konvergierte Antwort: Die TTL wird einmal geprüft, bei der Annahme, und dann für den Rest der Verarbeitung eingefroren; ein bereits abgelaufenes Mandat ergibt eine signierte EXPIRED-Quittung als Endzustand, über denselben Pfad prüfbar wie der positive Autorisierungsdatensatz (JCS-Kanonisierung plus Ed25519). Die Details sind technisch, der Punkt ist einfach: Die Vertrauensebene ist nur sicher, wenn diese Grenzfälle festgelegt und nicht den Implementierungen zum Auseinanderlaufen überlassen werden. Das vollständige Lebenszyklus-Modell — die Regel einmal-prüfen-dann-einfrieren und der eine Prüfpfad hinter beiden Ausgängen — haben wir auf unserer UCP-mandate-evaluation-Referenzseite beschrieben.

Ebene 3 — Inhaltsqualität: Kann der Agent das Gefundene tatsächlich nutzen?

Angenommen, der Agent erreicht den Shop (Ebene 1) und vertraut ihm (Ebene 2). Er muss den Katalog dennoch verstehen. Sind die Produktdaten mehrdeutig, unvollständig oder unstrukturiert — fehlende Identifikatoren, vage Beschreibungen, keine klaren Verfügbarkeits- oder Preissignale — kann der Agent Absicht nicht zuverlässig dem Produkt zuordnen, Angebote vergleichen oder mit Zuversicht empfehlen. Das ist kein Protokollproblem, und kein Standard behebt es; es ist Grundlagenarbeit an den Daten selbst.

Und die Daten sind, offen gesagt, nicht bereit. Unabhängige Audits der Agentenbereitschaft über E-Commerce-Kataloge fanden Durchschnittswerte um 48 von 100, mit nur einem kleinen Anteil von Shops über 80. Discovery- und Vertrauensstandards können perfekt reifen und dennoch die meisten Händler für Agenten unsichtbar lassen — schlicht, weil ihre Kataloge nicht lesbar sind.

Das ist die Ebene, an der MerchantStamp arbeitet: Katalog- und Storefront-Daten zu auditieren und zu strukturieren, damit ein Agent sie tatsächlich parsen kann — über MCP, ACP und UCP zugleich. Es ist das unscheinbare dritte Bein des Hockers — aber ein Discovery-Protokoll und ein Vertrauensmandat, die auf einen unlesbaren Katalog zeigen, erzeugen trotzdem eine schlechte Empfehlung.

Warum alle drei, gemeinsam

Der Ablauf einer wirklich sicheren Agententransaktion durchläuft alle drei: Der Agent verifiziert Händleridentität und Mandatsgrenzen (Vertrauen), entdeckt und verhandelt den Kauf (Discovery), führt innerhalb des Mandats aus und eskaliert an einen Menschen, wenn die Grenzen überschritten werden — alles gegen einen Katalog, der klar genug ist, um danach zu handeln (Qualität). Lassen Sie die Vertrauensebene weg, und Sie haben schnellen, selbstbewussten Betrug. Lassen Sie die Qualitätsebene weg, und Sie haben einen verifizierten, gut protokollierten Weg zum falschen Produkt.

Die Protokollkriege werden weiter die Schlagzeilen bekommen. Doch die Händler, die im Agentic Commerce gewinnen, werden jene sein, die es als drei Probleme behandelt haben, nicht als eines.