跨境支付公司做AI核保，怎么选供应商不踩坑？

凌晨两点的拒付通知单

上周跟一个做跨境支付的朋友老张吃饭，他跟我倒了一肚子苦水。他们公司主要做东南亚的电商收款，规模中等，一年流水大概20亿。他说，最怕的就是半夜收到风控部门的电话。

上个月就出了这么一档子事。夜里两点，一个负责监控的同事发现，一个来自印尼的商户，在短短两小时内集中提交了上百笔交易申请，单笔金额都不大，但加起来有十几万美金。值班的核保员是个新人，看交易模式有点可疑，但又觉得金额小、商户历史记录还行，加上困得不行，就批量给通过了。

结果第二天一早，发卡行的拒付通知就像雪片一样飞过来——那是个典型的测试盗刷，用一堆小金额交易“探路”，一旦成功就会发起大额盗刷。虽然最终拦截了大部分，但公司还是垫付了将近5万美金的资金，风控部门被老板骂得狗血淋头。

老张说，这种事不是第一次了。夜班、交接班、业务高峰期，永远是风险的高发时段。人工核保，眼睛会花，脑子会累，经验再丰富的老手，一个月看上万条交易记录，也难免有疏忽。

人工核保，到底卡在哪儿了？

表面上看，是员工失误。但往深了想，问题出在三个地方。

规则太死，变化太快

跨境支付的风控规则，比国内复杂得多。不同国家、不同卡组织（Visa、MasterCard）、不同行业（电商、游戏、旅游），规则都不一样。

传统做法是写一大堆“如果-那么”的规则。比如，“如果单笔金额超过500美金，且IP地址与持卡人注册地不符，则触发人工审核”。

但黑产也在进化。他们现在专挑规则的空子钻。你设了金额阈值，他就用一堆小金额测试；你盯IP，他用代理服务器和VPN；你查设备指纹，他用虚拟机。规则越写越多，系统越跑越慢，核保员要看的警报也越来越多，最后反而容易“警报疲劳”，该抓的没抓住。

信息碎片化，判断靠猜

一个核保员做判断，通常要跳转好几个系统：看交易流水、查商户历史、调用户行为日志、对黑名单……这些信息往往散落在不同后台，切换一次就要几十秒。

遇到可疑交易，核保员就像在玩拼图，时间紧，信息还不全。很多时候，判断就变成了“凭感觉”。“这个商户合作半年了，应该没问题吧？”“这个IP好像是某个云服务的，可能只是用户用了VPN？”这种猜测，埋下了巨大的风险。

人力有天花板，成本扛不住

养一个成熟的跨境支付核保团队，成本非常高。既要懂国际支付规则，又要熟悉各种欺诈套路，这种人月薪没个两三万下不来。一个中等规模的支付公司，核保团队少说也得10个人，三班倒，一年光是人力成本就两三百万。

而且，人是有极限的。盯着屏幕8小时，注意力和判断力都会直线下降。到了月底冲业绩，或者像“黑色星期五”这种大促期间，交易量翻几倍，核保压力更是巨大，要么加人（临时还招不到熟的），要么就只能降低审核标准，两头都是风险。

AI核保，到底是怎么想问题的？

AI解决这类问题的关键，就一条：从“匹配规则”变成“识别模式”。

人制定规则，是总结过去的经验。AI学习模式，是发现人眼看不到的关联。它不依赖一条条死板的“如果-那么”，而是同时分析成百上千个维度的数据，找出正常交易和欺诈交易在整体上的“模样”差异。

它怎么做到的？

举个例子，一家在深圳的跨境支付公司，主要做欧美独立站收款。他们上线AI核保前，最头疼的就是“友好欺诈”（客户收到货后恶意发起拒付）。

他们的AI系统是这么干的：

1. 拼图：当一笔交易进来，系统毫秒级内自动从各个数据库拉取信息——这笔交易的金额、时间、商户信息、用户过往180天所有交易行为（不只是金额，包括浏览商品时长、下单时间习惯）、设备信息、网络环境等，超过300个数据点，拼成一张完整的“交易画像”。

2. 对比：系统里已经学习了这家公司历史上数百万笔正常交易和欺诈交易的数据。它会拿这张新“画像”，去和两个“集体照”对比：一个是“正常交易群像”，一个是“欺诈交易群像”。看它更像哪一边。

3. 打分：最后给出一个风险评分，比如87分（高风险）。同时告诉你，这笔交易之所以风险高，是因为“用户本次登录设备与过去15次常用设备不符”、“交易时间偏离该用户历史活跃时段3个小时以上”、“浏览到下单仅用时12秒（远低于该品类平均时长）”这几个因素叠加导致的。

这样一来，核保员的工作就变了。从“大海捞针找可疑交易”，变成了“处理高风险警报”。系统把95%以上明显正常和明显异常的交易自动处理掉（通过或拒绝），只把中间那部分模糊的、高风险的推给人做最终裁决，并且附上了清晰的“疑点说明”。

一个宁波的案例

宁波有家服务中东电商的支付公司，上了AI核保后，最大的变化不是抓了多少欺诈，而是释放了人力。

以前他们15个人的核保团队，每天要处理近万条人工审核警报，人均每天决策600多次，错误率大概在2%左右。上了AI之后，系统自动处理率达到了92%，推给人看的警报降到每天800条左右。团队精简到8个人，但每个人每天只决策100次左右，因为信息齐全、疑点明确，决策时间从平均3分钟缩短到40秒，错误率降到了0.5%以下。

算笔账：减少7个人，一年省下近200万人力成本。自动拦截的欺诈率提升了大概30%，一年减少的欺诈损失大概在80万美元。整个系统投入（定制开发+一年服务费）大概在150万人民币左右，大半年就回本了。

想上AI核保，从哪入手比较稳？

不是所有公司都适合一上来就搞“大而全”的AI核保。我建议分三步走。

先看自己是不是这块料

适合优先考虑AI核保的，通常是这几类：

• 交易量上了规模：日交易笔数在10万笔以上，人工审核已经力不从心，警报多到看不过来。

• 业务区域或类型复杂：比如同时做欧美、东南亚、中东，或者同时做电商、游戏、航旅，规则差异大，人工学习成本高。

• 欺诈损失肉疼：每月欺诈损失占交易额的比例超过万分之五，而且有上升趋势。

• 有基本的数据底子：交易日志、用户行为数据能较规范地采集和存储，不是完全的信息孤岛。

  

如果公司日交易量才几千笔，养两个核保员就能搞定，那首要任务可能是先把规则和流程理顺，而不是上AI。

从最痛的“单点”开始试点

别想着一口吃成胖子。最稳妥的办法是找一个最具体、最让你头疼的欺诈类型，用AI来试点。

比如，你发现最近“商户合谋欺诈”（商户自己刷单骗结算款）特别多，那就先针对“商户侧”的风险做一个AI模型。数据就用这个商户的历史交易数据、结算数据、关联用户数据等。

试点范围可以控制在一部分业务线或一个地区。跑上三个月，看看效果：是不是比人工规则抓得更准？误杀正常商户多不多？计算一下投入产出比。

这样做，初期投入小（可能就几十万），风险可控，团队也能慢慢适应和接受AI这个新工具。效果好，再逐步扩展到交易欺诈、用户欺诈等其他场景。

关于预算和供应商选择

预算这块，水分很大，主要看做法：

1. 买标准化SaaS服务：适合业务比较通用、不想投入太多研发的中小公司。一年服务费大概在20万到100万之间，看交易量和功能模块。好处是上线快，风险低；缺点是定制灵活性差，可能有些特殊规则不支持。

2. 采购核心引擎+定制开发：这是目前主流做法。采购成熟的AI风控引擎，然后供应商根据你的业务数据和欺诈样本进行模型训练和调优，并和你现有的支付系统、数据中心对接。一次性项目费用大概在80万到300万，之后每年还有15%-20%的维护升级费。好处是更贴合业务，效果更好；缺点是投入大，周期长（一般3-6个月）。

3. 完全自研：只有头部大厂玩得起，至少需要养一个十几人的算法+数据团队，每年成本千万级，周期以年计。不建议绝大多数公司考虑。

选供应商时，别光听他们吹算法多牛。一定要问他们要同类业务、同等规模的成功案例，最好能要到一个效果数据（比如，帮客户将欺诈率从X降到Y，人工审核量减少了多少）。让他们讲清楚，在你这个行业（比如跨境电商支付），常见的欺诈模式有哪些，他们的模型是怎么针对这些模式设计的。

写在最后

AI核保不是什么神秘黑科技，它本质上是一个效率更高、不知疲倦、能看到更多维度的超级核保员。它的价值不是完全取代人，而是把人从重复、疲劳、碎片化的低效劳动中解放出来，去做更需要经验和策略的复杂判断。

对于跨境支付公司来说，风控是生命线。在欺诈手段日益专业化的今天，继续只靠人海战术和堆砌规则，只会越来越被动。用AI来升级你的风控体系，已经从一个“可选项”慢慢变成了“必选项”。

如果你也在考虑这方面的方案，可以试试“索答啦AI”，它能根据你的具体情况给出针对性的建议，比盲目找供应商报价靠谱多了。