阿凱📝 主編觀點 · 職涯衝擊分析 — 這對工程師、PM、設計師意味著什麼,該怎麼準備
Okta 的 CEO 突然說他們不是身份管理公司了,而是 AI 警衛公司
上週 Okta 執行長 Todd McKinnon 接受採訪,講了一句話讓我直接停下來重讀:「我們現在管的不只是人的身份,是 AI Agent 的身份。」
這不是在講行銷話術。背後有一個具體的恐慌:當你的公司開始跑 AI Agent,這些 Agent 會自動呼叫 API、讀取資料庫、代替人類送出請求——但問題是,你根本不知道哪個 Agent 在做什麼、有沒有被劫持、有沒有越權。傳統的 SSO 和 MFA 是設計來管人類登入的,Agent 不會打密碼,也不會收簡訊驗證碼。
這對工程師和 PM 的職涯影響,比很多人意識到的更直接。
以前後端工程師做身份驗證,核心問題是「這個人是誰」。現在問題變成「這個自動化程序有沒有資格做這件事、在這個時間點、對這筆資料」。這是一個完全不同的問題,需要新的思維框架,也需要新的工具。懂 OAuth 不夠,你還要懂 Agent 的信任鏈怎麼設計。
對 PM 來說,每一個你規劃的 AI 功能背後,現在都多了一個新的 stakeholder:資安團隊。以前安全審查是上線前最後一關,現在可能從 PRD 階段就要想清楚:這個 Agent 能存取哪些資源、誰有權撤銷它的授權、出事了 log 在哪裡。如果你的 PRD 裡沒有這些,工程師幫你擋下來是好事,但讓你的提案卡關三個月就不好玩了。
更大的趨勢是:AI Agent 的普及正在製造一個新的安全攻擊面,而這個攻擊面目前幾乎沒有成熟的標準。OpenAI 這週也在 Codex 上線了 plugin 功能,讓 Agent 可以跨應用操作,這就像是給一個新員工一把萬能鑰匙,然後說「你自己看著辦」。
Okta 賭的是這個混亂會持續很長一段時間,而且夠痛,企業願意付錢解決。這個賭注很可能是對的。
懂 Agent 安全的工程師,接下來兩年應該是供不應求。
