对大多数金融机构而言,身份验证至今仍是一件“开户那一刻”的事。客户提交证件、完成活体检测、通过 eKYC 比对,系统放行,账户开立——在这条流水线里,“通过验证”几乎等同于“可以信任”。 这套逻辑在很长一段时间里足以支撑基础准入与合规要求,因为它默认了一个前提:能在开户环节骗过系统的人是少数,而通过验证的人此后大体可信。
到 2026 年,这个过去长期存在的风险缺口,正在被 AI 自动化和合成身份欺诈进一步放大。越来越多的欺诈不再急于在开户那一刻得手,而是反其道而行——先以一个“看起来干净”的身份低调通过验证,然后长期蛰伏,等到时机成熟再集中发难。当欺诈学会了等待,只在开户环节设防的“一次性闸门”,还守得住吗?
开户即放行的旧假设,正在被“潜伏型欺诈”击穿
传统 KYC 的本质,是一张拍摄于开户瞬间的快照。机构在客户进入时核验身份、生成记录,随后按预设周期(一年、三年,或在触发事件时)再做复查。问题在于,这张快照一旦拍下,往往要等很久才会被重新审视,而客户的真实风险,可能早已在这段空窗里发生了根本变化。穆迪(Moody’s)等机构在讨论“持续型 KYC”(perpetual KYC)时反复强调的,正是这一点:静态的开户核验,在一个客户行为与全球风险持续变动的世界里,会很快过时。
更棘手的是,新一代欺诈正是冲着这道空窗来的。合成身份欺诈——把真实信息碎片与虚构信息拼接,制造一个“统计上看起来干净”的虚假身份——已经成为全球金融业最难缠的欺诈类型之一。身份验证厂商 Microblink 在其 2026 年欺诈趋势研究中指出,这类身份往往能通过基础验证,却可能在后续暴露出身份历史过薄、身份元素重复、异常高通过率后伴随下游欺诈或账户沉默等信号。换句话说,它们不是在开户时露馅,而是在开户之后才开始“变坏”。
这种“先通过、再作案”的节奏,在信贷场景里被演绎得淋漓尽致。行业内早已观察到一种“养号”打法:欺诈者用合成身份开户后并不急于套现,而是通过持续的小额借贷、按时还款,在数月乃至一年以上的周期里把信用评分一点点养起来,直到额度足够诱人,再在某个预设时点同步激活大量账户、跨多家机构集中刷爆、清空余额。等到机构察觉异常,损失往往已无法追回。而 AI 工具的普及,正在让这种原本需要团队协作、耗时漫长的养号操作,变得更快、更廉价,也更难识别。
账户接管(ATO)同样印证了这一趋势。Microblink 的研究提醒,账户接管正越来越多地表现为“身份被攻陷之后的下游结果”,而非孤立的起点——账户接管(ATO)同样印证了这一趋势。它越来越不只是一次孤立的登录攻破,而是身份资料、设备环境、凭证与行为链路被持续攻陷后的下游结果。攻击者一旦掌握足够可信的身份凭据或已验证账户,就可能获得长期、隐蔽的访问权。所以真正决定风险的,往往不是开户那一刻验得够不够严,而是“通过之后会发生什么”——这恰恰是只盯着开户环节的体系最薄弱的地方。
行业的答案正在趋同:验证从“一次性动作”变为“持续过程”
面对同一道空窗,头部厂商给出的答案高度一致:把验证从一个一次性的动作,改造成一条贯穿生命周期的持续过程。
这一转变并非个别厂商的零星尝试,而是身份验证与合规行业正在形成的共识。一方面,业界主流观点已明确提出,验证应从单点检查走向持续评估——把设备遥测、行为分析与上下文情报融合成一个动态调整的信任层,而不在开户时一锤定音;另一方面,进入 2026 年,已有多家头部厂商相继推出“开户后持续监控”类能力:在客户初次通过验证之后,对其身份风险进行周期性乃至每日的重新评估与组合层面的再核查,所瞄准的正是“先通过、后蛰伏、再激活”这一现实欺诈模式。
监管的指针也指向同一方向。FATF 第 10 项建议早已要求机构对客户关系进行基于风险的持续监控,而非一次性尽调;欧盟等多个司法辖区也在推动由名单更新、负面新闻或资料变更触发的再筛查。正如多家合规机构所观察到的,2026 年监管评估的重心,正从“你有没有相应的控制”转向“这些控制是否真正有效”——持续监控由此从“高级附加项”变成了“合规底线”。
代价则写在罚单上。2024 年,美国 TD Bank 因反洗钱监控长期失效支付约 30.9 亿美元罚款;更早之前,Danske Bank 因其爱沙尼亚分支处理约 2000 亿欧元可疑交易,被罚没约 20 亿美元;汇丰银行也曾因反洗钱与制裁合规缺陷支付约 19 亿美元和解金。这些案例的共同点耐人寻味:风险信号并非完全没有出现,而是没有被及时识别、升级、联动处置,最终演变成系统性问题。监管真正追问的,从来不是“你开户时查没查”,而是“风险变化时,你有没有持续盯着”。
从“开户验证”到“持续身份信任”,到底要补齐什么
需要厘清的是,转向“持续身份信任”,并不是把开户验证做得更重、更慢,而是承认一个更朴素的事实:信任是动态的,会随时间衰减,因此需要被持续校准。
这条贯穿生命周期的信任链路,大致包含几个相互衔接的环节:在开户端,用足够强的身份核验与反欺诈能力把好第一关,尽量不让“看起来干净”的假身份混进来;在存续期,用行为、设备、交易等多维信号持续比对,识别那些开户时正常、之后才异常的账户;在事件触发时,由名单更新、负面新闻、资料变更或可疑行为自动拉起再核验;最后,所有告警与处置都要可追溯、可审计,因为监管问责时看的正是这条留痕是否完整。
它的关键,不在于某一个环节做到极致,而在于这些环节能不能串成闭环——前端把关越牢,后端持续监控需要处理的噪音就越低;后端监控越敏锐,前端漏网之鱼造成的损失就越可控。事实上,这一判断与我们此前在《从 KYC 到 KYA》一文中提出的观察一脉相承:数字身份体系正在从一次性的认证动作,演变为一套持续性的治理体系。只不过,那篇文章讨论的是 AI 时代“由谁来执行行为”的新命题,而这里要回答的,是更基础也更迫切的一问——当真人与合成身份都学会了潜伏,机构如何让信任贯穿始终。
ADVANCE.AI 观察:把“持续信任”做成能力,而非口号
对金融科技企业而言,持续身份信任不应只是一句理念,而要落到可调用、可验证的能力上。
以 ADVANCE.AI 为例,其新一代反洗钱筛查(AML Screening)产品所支撑的,正是这样一条全周期链路:从首次核查,到资料变更复查,再到 365 天的持续监控,风险监测贯穿客户的整个生命周期;无论是制裁名单新增、重点关注人员名单更新还是负面新闻出现,系统都会第一时间捕捉并自动告警,同时标记来源。配合集中化的案件管理,每一条与客户相关的提醒、复核与处置都会归入同一档案完整留痕——谁发现、谁复核、为何处理、何时结案,在监管问询时都能快速、透明地回应。这套能力背后,是覆盖全球主要司法辖区、接入数百份国际制裁与监管名单、汇聚海量风险信息源的数据底座。
而在反欺诈一侧,能力同样在向“持续”延伸。ADVANCE.AI 自研的欺诈人脸检测,可将提交的人脸与历史风险样本实时比对、毫秒级响应,把传统风控中的被动拦截转为主动预警;其风险管理与信用风控能力也可在贷中环节,对失联、异常行为等风险进行提前预警。再加上已通过 iBeta 认证、并在注入攻击检测评估中跻身全球少数通过者之列的活体检测能力,前端这道关把得越牢,后端持续监控所要承担的压力就越小。
这些能力的价值,恰恰不在于单点的领先,而在于它们能被串成“开户—在途—事件触发”的闭环。这也是 ADVANCE.AI 多年深耕印尼、菲律宾等高欺诈风险市场所沉淀的核心判断:真正有效的防御,从来不是开户时的一道闸门,而是一套把身份核验、行为分析、反欺诈与合规监测融为一体、持续对抗的全链路体系。
欺诈已经学会了等待,信任也必须学会持续。开户那一刻的“通过”,本应是信任的起点,而不是终点。当合成身份与潜伏型欺诈逐渐成为常态,能不能把“一次性闸门”升级为“贯穿生命周期的持续身份信任”,正在成为金融机构之间一道新的分水岭。对那些希望在新兴市场行稳致远的企业而言,这已不再是一道可以等待观望的选择题,而是一道必须现在就作答的必答题。
关于 ADVANCE.AI
ADVANCE.AI 是全球领先的人工智能与金融科技企业,提供数字身份验证、KYC/KYB、合规、风险管理和信用信息等服务。目前,已与银行、金融服务、金融科技、跨境支付、交易平台、零售和电商等行业客户建立了合作伙伴关系,服务遍布六大洲。凭借卓越的技术与创新,ADVANCE.AI 入选 CNBC 评选的全球 250 家顶尖金融科技公司之一。
ADVANCE.AI 隶属于 Advance Intelligence Group,集团总部位于新加坡,由软银愿景基金二期、华平投资、Northstar 以及新加坡全球投资机构 EDBI 等顶级投资者支持。
免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。

