FIDO身分識別觸角擴大，聚焦3大關鍵議題：數位憑證、AI代理、歐盟CRA

在今年2月舉行的FIDO巴黎研討會中，數位憑證與代理式AI已躍升為核心議題，歐盟網路韌性法案（CRA）亦是討論焦點。這些動向不僅展現FIDO正擴張其接軌範疇，也預示著身分識別在AI代理時代面臨的全新挑戰。

FIDO技術迎來全新布局，從Passkey普及邁向多元生態接軌

有哪些全新發展重點？近期參加FIDO巴黎研討會的工業技術研究院資通所副所長黃維中指出，他在今年會議上觀察到3大核心議題：數位憑證、代理式AI，以及歐盟網路韌性法案（CRA）。

焦點一：數位憑證（Digital Credential）

首先是數位憑證與FIDO的結合。黃維中解釋，過去FIDO標準主要聚焦於「身分驗證」動作，相當適用於不需實名認證的場景。然而，隨著數位錢包（Digital Wallet）興起，如何安全存放並使用數位駕照、護照等數位憑證，已成為產業發展的新關鍵。

針對此態勢，FIDO聯盟已展開布局。黃維中指出，為因應數位憑證帶來的新需求，FIDO聯盟近兩年陸續推出DocAuth（文件驗證）與Face Verification（人臉驗證）兩大標準，以解決數位憑證在線上註冊（Onboarding）時的信任挑戰。

不過，在目前的數位憑證生態系中，FIDO僅扮演其中一個環節，主要負責裝置間的互動。例如，在歐盟eIDAS規範下，App與錢包間的近距離互動即是採用FIDO的CTAP協議。至於數位憑證本身的標準，目前仍多由OpenID基金會、W3C、IETF等組織主導，還有像是ISO 18013中的行動駕照mDL標準。

未來有哪些重要變化值得關注？黃維中點出FIDO數位憑證工作小組（DCWG）的最新動向。他表示，在納入數位錢包應用後，多了「驗證者（Verifier）」與「憑證管理器／錢包（Credential Manager）」的角色，因此FIDO的角色也會變得與以往不同。

基於此架構，DCWG未來將鎖定兩大發展重點：第一是推動數位錢包的認證，確保其安全性與互通性，第二是驗證者識別規範制定，也就是確認「請求資料的驗證方」是否合法合規，確保憑證交換過程的安全。

焦點二：代理式AI（Agentic AI）

談到這次巴黎研討會最大的收穫，黃維中直言，FIDO與代理式AI的交會點最引人注目，卻也最令專家戒備。他強調，一旦AI代理能在系統面前「像人一樣行動」，身分、授權與責任邊界將同步被放大，風險不容忽視。

黃維中轉述會中專家是如何看待代理式AI，首先，FIDO聯盟將AI代理的互動模式歸納為3類，分別是：Delegation（委任）、Impersonation（冒充）、Just-in-Time（及時授權）。

在3種互動模式當中，委任模式被認為相對完整且具防禦餘地。例如，使用者以Passkey進行授權後，發出如OAuth Token的憑據給AI代理執行任務。黃維中強調，Passkey是目前唯一能驗證你是真實人類親自在場（Human in the loop）的技術。此外，目前討論熱度高的MCP若搭配OAuth也可行，但需注意OAuth去年針對此類需求新增了條文，企業應採用最新版本以確保完整性。

冒充互動模式則被視為高風險區，黃維中指出，現行AI代理出現代理失控案例多與此模式有關，因為使用者在設定檔中將權限完全開放。

至於Just-in-Time互動模式，則被視為在效率與人類把關之間折衷的做法。簡單而言，使用者一開始先給最基礎的授權，之後Agent想要執行任何關鍵動作時，再即時進行一次驗證授權。

那麼FIDO聯盟在Agentic AI浪潮下將有哪些行動？黃維中指出兩個討論重點：

（一）在目前的技術討論中，Passkey被視為極少數能有效確認「使用者親自在場」的技術手段。所以Agent要安全，流程中一定要有Passkey驗證。

（二）為了進一步提升AI代理的安全性，FIDO聯盟正規畫制定一套技術規範，將Passkey授權憑證當作Agent的授權證明，從中規範代理能做什麼、不能做什麼。一旦出問題，至少能證明當初授權的範圍，責任歸屬會比較明確。因此，FIDO也將定義這種授權證明的格式，預計這是FIDO聯盟這一兩年會熱烈討論的方向。

黃維中也補充，這類以Passkey簽署的授權證明，在臺灣現行環境下，將能與數位簽章制度的適用性討論接軌，強化法律上的證據力，因此，這類技術對於金融、政府與大型平臺業者同樣具參考價值。

焦點三：歐盟CRA（Cyber Resilience Act）

最後一個重點是歐盟網路韌性法案（CRA），就目前聯盟討論方向來看，CRA法案與FIDO的發展路線有重疊與交集之處。

首先是技術對齊方面，CRA要求裝置內必須有Root of Trust（信任根），與FIDO聯盟要求一致；其次是流程規範方面，FIDO標準對於各項技術步驟如何生效、如何驗證都有明文規定。

第三點是最重要的CRA通報時程要求，也就是業者若發現漏洞必須在24到72小時內向主管機關完成通報，否則面臨巨額罰款或產品禁售。黃維中指出，企業若採用自訂規格需自行發現、追蹤並回報漏洞；相對地，如果企業是採用FIDO標準，FIDO聯盟在漏洞追蹤、提供通報歐盟所需規格文件上，可以更容易合規。這種標準化的價值不僅在 CRA，在歐盟其他合規要求中也一再被提到。