從產業界角度看FIDO最新3大趨勢，可驗證數位憑證（VDC）與認識你的Agent（KYA）成關鍵

這次活動除了有工研院專家解析FIDO聯盟正聚焦三大議題：數位憑證（Digital Credential）、代理式AI（Agentic AI）、歐盟CRA（Cyber Resilience Act），現場還有多位產業人士解析FIDO聯盟最新進展，當中同樣有針對上述三大態勢提出深度解析。

例如，關於FIDO與數位憑證的發展上，全景軟體副總經理陳俊良表示，FIDO聯盟的政府部署工作小組（GDWG）在去年9月，曾發表一份與數位憑證相關的白皮書，名為《Passkeys and Verifiable Digital Credentials (VDC): A Harmonized Path to Secure Digital Identity》。

陳俊良解釋，這份白皮書在探討通行密鑰（Passkey）與可驗證數位憑證（VDC）如何協調運作。首要重點是，此白皮書開宗明義指出Passkey與VDC是互補的解決方案，而非競爭關係。Passkey作為Web存取的安全門戶，而VDC則在高風險交易中提供驗證資料；其次，Passkey技術本身僅聚焦登入安全，現在則是進一步探討核發前的身分驗證。

全景軟體副總經理陳俊良表示，目前趨勢方向是透過VDC來支援Passkey的核發與帳戶復原，提升實名身分認證的可信度。該白皮書也點出，全球已有許多國家正加速布局VDC的發展。

對於FIDO應對代理式AI的討論，東擎科技軟體技術二部資安產品經理劉佳明表示，在這次研討會上他也深刻觀察到Agent時代的認證挑戰。他進一步剖析，當AI Agent成為具備執行力的行動者，傳統驗證將出現困境。過去我們驗證的是「人是否為本人」，但在AI Agent時代，當Agent遠端向系統發送請求，系統如何確認它還是那個Agent？

針對此態勢，FIDO聯盟成員正積極探討KYA（Know Your Agent），也就是「認識你的代理人」的概念。劉佳明認為，KYA是未來趨勢，是必要的起點，但尚未解決此刻Agent是否可信的問題，像是KYA要求「持續監控Agent行為」，這在現實中是一大挑戰。舉例來說，Passkey可以驗證是本人授權每個動作，但Agent每日執行數百個動作，人類的耐心是有限的。

他另提到，從硬體製造角度來看，KYA在發展上還要考量多層防線，像是需要Hardware in the Loop，也就是Agent執行過程中，由硬體層判斷當前狀態是否允許操作，硬體Root of Trust（RoT）同樣是必要條件，確保安全策略不被竄改，並提供完善的憑證保護。另外，雖然KYA驗證了Agent身分，但Agent遭受提示注入或記憶投毒的問題，則是另一層面的嚴峻挑戰。

至於FIDO與CRA之間的探討，劉佳明指出，這也是他們硬體廠商非常關注的重要議題。他認為，儘管CRA於2027年正式生效，但漏洞通報規範今年9月率先上路，若等明年相關指引出爐才倉促應對是完全來不及，因此目前其公司內部是以全公司規模去做準備。另外他也推薦，可參考FIDO聯盟提出的「5步驟輕量化CRA合規計畫」。

東擎科技軟體技術二部資安產品經理劉佳明表示，他注意到FIDO聯盟提出一套「5步驟輕量化CRA合規計畫」，從釐清製造商、界定CRA合規義務歸屬開始，一步步到驗證準備就緒，其流程極具參考價值，足以供外界業者借鏡。