Pengesahan identiti ejen AI, Keselamatan untuk Ejen (KYa: Know Your Agent)

"Siapa yang Sedang Bertindak" — Krisis Identiti di Era Agentik

Pada Mac 2026, industri teknologi global berada di titik peralihan yang fundamental. Model bahasa berskala besar (LLM) telah melampaui tahap "menjawab soalan manusia" dan telah berkembang menjadi "AI yang bertindak" — yang mampu membuat keputusan secara autonomi, mengendalikan sistem luaran, dan berunding dengan ejen-ejen lain. "Operator" milik OpenAI, "computer use" Claude dari Anthropic, Project Mariner dari Google, dan Copilot Agents dari Microsoft — kesemua ini menandakan kedatangan era di mana AI mengendalikan web dan melaksanakan tugas sebagai wakil manusia.

Persoalan terbesar yang belum terjawab daripada evolusi ini adalah mudah secara mengejutkan: "Siapakah ejen itu?"

Keselamatan siber tradisional dan pengurusan identiti telah dibina di atas andaian tersirat bahawa "entiti yang beroperasi adalah manusia." Protokol pengesahan seperti OAuth, SAML, dan OpenID Connect direka untuk aliran di mana seorang manusia yang duduk di hadapan pelayar memasukkan nama pengguna dan kata laluan, lalu melengkapkan pengesahan pelbagai faktor. Namun ejen AI mengendalikan pelayar secara automatik, memanggil API secara selari, dan mewakilkan tugas kepada ejen-ejen lain. Seperti yang dinyatakan oleh PwC Japan, ejen AI menggugat andaian asas pengurusan identiti — iaitu "siapa yang sedang bertindak" dan "atas kehendak siapa tindakan itu dilaksanakan."

Bilangan identiti bukan manusia dalam persekitaran korporat — akaun perkhidmatan, kunci API, bot, skrip automasi — sudah melebihi pekerja manusia dengan nisbah 50:1 hingga 96:1. Dalam laporan Januari 2026, Sean Neville dari a16z crypto (pengasas bersama Circle, CEO Catena Labs) menggambarkan identiti bukan manusia ini sebagai "unbanked ghosts" (hantu tanpa akaun bank), dan menegaskan bahawa "sama seperti manusia memerlukan skor kredit untuk mendapatkan pinjaman, ejen akan memerlukan kelayakan yang ditandatangani secara kriptografi untuk melaksanakan transaksi."

Kajian Strata Identity menyokong keseriusan krisis ini dengan angka-angka yang nyata. Walaupun 80% syarikat melaporkan tingkah laku ejen AI yang tidak dijangka, hanya 22% organisasi yang menganggap ejen AI sebagai entiti pembawa identiti yang berdiri sendiri. Baki 78% mengesahkan ejen menggunakan akaun perkhidmatan sedia ada atau kunci API yang dikongsi — yang bermaksud ketiadaan jejak audit, pemberian kebenaran yang berlebihan, dan ketiadaan akauntabiliti.

KYa——Menerapkan Pemikiran Regulasi Kewangan kepada Ejen AI

KYa (Know Your Agent) ialah konsep yang memperluaskan falsafah KYC (Know Your Customer) — yang telah diamalkan dalam industri kewangan selama beberapa dekad — ke dalam domain ejen AI. Berbeza dengan KYC yang mengesahkan identiti pelanggan melalui dokumen pengenalan diri yang dikeluarkan oleh kerajaan dan pengesahan biometrik, KYa mengesahkan identiti ejen AI melalui kelayakan kriptografi, pembuktian kod (attestation), serta pengikatan kepada manusia atau organisasi yang berperanan sebagai "prinsipal (pemberi kuasa)".

Sumsub (syarikat platform pengesahan global) telah mengumumkan definisi rasmi KYa pada 29 Januari 2026. Menurut definisi tersebut, KYa ialah "pendekatan berasaskan risiko yang menetapkan identiti ejen AI, mengaitkannya dengan pihak yang bertanggungjawab (manusia atau organisasi), serta menguatkuasakan polisi, pengawasan, dan kebolehauditan merentasi semua tindakan autonomi."

CTO Sumsub, Vyacheslav Zholudev, memberi amaran bahawa "ejen AI dengan cepat menjadi tulang belakang (backbone) operasi digital, namun kebanyakan sistem hari ini masih menganggap ejen sebagai kotak hitam yang legap dan tidak boleh dipertanggungjawabkan." Syarikat itu mengumumkan mekanisme "Agent-to-Human Binding" — iaitu sistem yang mengaitkan ejen AI dengan identiti manusia yang telah disahkan — serta mengemukakan rangka kerja untuk menghubungkan tindakan ejen dalam transaksi kewangan kepada tanggungjawab manusia.

Perbandingan antara KYC dan KYa boleh diringkaskan dalam jadual berikut.

Konsep ini bukan sekadar teori yang abstrak. Gartner meramalkan bahawa "menjelang 2028, 25% daripada pelanggaran keselamatan dalam perusahaan akan berpunca daripada penyalahgunaan ejen AI," menjadikan ketiadaan KYa bukan sekadar risiko pematuhan, tetapi ancaman keselamatan yang bersifat eksistensial.

Persaingan Standard Industri — A2A, MCP, AAIF, dan IETF

Persaingan piawaian mengenai identiti dan kesalingoperasian ejen telah meningkat dengan pesat sejak separuh kedua 2025. Pada masa ini, pelbagai protokol dan inisiatif sedang berjalan serentak, dan memahami gambaran menyeluruh mereka adalah kunci kepada keputusan pelaburan dalam bidang ini.

Google Agent-to-Agent Protocol (A2A) telah diumumkan pada April 2025 dan mendapat sokongan daripada lebih 50 rakan teknologi. Ia menggunakan piawaian web sedia ada — HTTP, SSE (Server-Sent Events), dan JSON-RPC — sebagai asas untuk mewujudkan rangka kerja penemuan keupayaan antara ejen (Agent Card), delegasi tugas, dan pengesahan. Dari segi keselamatan, mekanisme pengesahan yang menggabungkan JWT (JSON Web Token) dan OIDC (OpenID Connect) disertakan secara standard, dengan reka bentuk privasi yang membolehkan ejen berinteraksi tanpa berkongsi ingatan dalaman, alatan, atau logik proprietari mereka.

Anthropic Model Context Protocol (MCP) telah diumumkan pada November 2024, dengan semakan spesifikasi besar-besaran dibuat pada Jun dan November 2025. Ia meletakkan pelayan MCP sebagai pelayan sumber OAuth 2.0, menggunakan aliran pengesahan yang mematuhi OAuth 2.1. Mekanisme keselamatan seperti pengikatan parameter sumber berdasarkan RFC 8707, PKCE (Proof Key for Code Exchange), dan pengesahan URI ubah hala telah disertakan, namun keselamatan pada peringkat pelaksanaan masih dalam perkembangan — seperti yang terbukti apabila kerentanan pelaksanaan kod jauh berasaskan pelayar (CVE-2025-49596) ditemui dalam MCP Inspector pada 2025.

Pada 9 Disember 2025, Agentic AI Foundation (AAIF) telah ditubuhkan di bawah Linux Foundation sebagai organisasi bersepadu untuk memajukan kesalingoperasian protokol-protokol ini. Projek pengasas yang dipindahkan termasuk MCP Anthropic, Goose oleh Block, dan AGENTS.md oleh OpenAI. Ahli Platinum termasuk AWS, Anthropic, Block, Bloomberg, Cloudflare, Google, Microsoft, dan OpenAI, manakala lebih 36 Ahli Gold termasuk Cisco, Datadog, Docker, IBM, JetBrains, Okta, Oracle, Salesforce, SAP, Shopify, Snowflake, JPMorgan Chase, dan American Express. Jumlah organisasi peserta termasuk Ahli Silver melebihi 146, dengan tambahan 97 organisasi lagi kemudiannya. TechCrunch melaporkan bahawa "OpenAI, Anthropic, dan Block menyertai usaha Linux Foundation untuk piawaian era agentic," dan mengiktiraf langkah ini sebagai isyarat penting bagi mengelakkan perpecahan industri AI.

Di IETF juga, beberapa draf khusus untuk pengesahan ejen telah dikemukakan. Yang paling ketara ialah AAuth (Agentic Authorization) (draft-rosenberg-oauth-aauth-00), yang mengembangkan OAuth 2.1 untuk menentukan protokol bagi ejen AI mendapatkan token akses. Draf ini amat ketara kerana ia secara eksplisit memasukkan serangan penyamaran (impersonation attack) yang berpunca daripada "halusinasi" LLM, serta antipola "token berkuasa tuhan (god-like token)" yang mempunyai keistimewaan berlebihan, ke dalam model ancamannya.

Selain itu, Agent Name Service (ANS) yang dicadangkan oleh ahli-ahli OWASP merupakan mekanisme penemuan ejen yang terinspirasi oleh DNS, menyediakan identiti yang boleh disahkan melalui sijil PKI. GoDaddy telah pun memulakan pembinaan pendaftaran ANS, dengan sasaran untuk menyediakan infrastruktur seperti DNS dalam pasaran AI agentic.

Pelancaran NIST — Piawaian Persekutuan Mempercepatkan Pelembagaan KYa

Pada 17 Februari 2026, Institut Piawaian dan Teknologi Kebangsaan (NIST) Jabatan Perdagangan Amerika Syarikat telah secara rasmi melancarkan Inisiatif Penyeragaman Ejen AI. Inisiatif ini dipimpin oleh Pusat Piawaian dan Inovasi AI (CAISI) di dalam NIST, dan terdiri daripada tiga tunjang utama: pertama, penetapan piawaian ejen yang diketuai industri; kedua, pembangunan protokol sumber terbuka yang digerakkan oleh komuniti; dan ketiga, penyelidikan mengenai keselamatan dan identiti ejen AI.

Kertas konsep Pusat Kecemerlangan Keselamatan Siber Kebangsaan (NCCoE) yang turut diumumkan pada masa yang sama, bertajuk "Accelerating the Adoption of Software and AI Agent Identity and Authorization", memberikan panduan teknikal untuk menyesuaikan piawaian identiti sedia ada — seperti OAuth, OpenID Connect, SCIM (System for Cross-domain Identity Management), SPIFFE/SPIRE (Secure Production Identity Framework for Everyone), dan NGAC (Next-Generation Access Control) — ke dalam konteks ejen AI.

Tarikh akhir ulasan awam bagi Permintaan Maklumat (RFI) berkaitan keselamatan ejen AI ditetapkan pada 9 Mac 2026, manakala tarikh akhir respons terhadap kertas konsep ialah 2 April. Sesi mendengar akan bermula pada bulan April. Langkah NIST ini berkemungkinan besar menjadi titik perubahan yang menandakan peralihan KYa daripada "amalan terbaik industri" kepada "piawaian persekutuan".

OpenID Foundation dan Stanford——Asas Teori Identiti Agen yang Digambarkan oleh Dunia Akademik

Pada Oktober 2025, OpenID Foundation mengumumkan kertas putih yang bersejarah bertajuk "Identity Management for Agentic AI". Kertas yang ditulis bersama dengan Loyal Agents Initiative dari Universiti Stanford dan ai Identity Management Community Group ini menganalisis secara sistematik betapa tidak sesuainya protokol pengesahan semasa untuk era agen.

Terdapat dua penemuan utama. Pertama, OAuth dan OIDC direka bentuk dengan mengandaikan pengesahan pengguna secara individu, dan tiada protokol umum yang menyokong agen dikongsi dalam konteks kumpulan. Kedua, agen yang mengoperasikan pelayar dan komputer secara langsung dapat memintas semua mekanisme kebenaran berasaskan API yang sedia ada. Yang terakhir ini amat serius — bagi agen seperti Claude computer use dari Anthropic dan Operator dari OpenAI yang mengoperasikan tetikus dan papan kekunci secara langsung di dalam pelayar, aliran OAuth/SAML yang sedia ada pada dasarnya tidak berkuasa.

Dari dunia akademik, beberapa makalah penting telah diterbitkan, termasuk cadangan rangka kerja identiti sifar kepercayaan menggunakan Pengecam Terdesentralisasi (DID: Decentralized Identifier) dan Kelayakan Boleh Disahkan (VC: Verifiable Credential) (arXiv:2505.19301), serta seni bina untuk memastikan kebolehpercayaan agen dalam persekitaran natif awan (arXiv:2512.05951).

Asas akademik ini menunjukkan bahawa pengesahan agen tidak dapat ditangani dengan sekadar "pengembangan" IAM (Identity and Access Management) yang sedia ada, sebaliknya memerlukan paradigma baharu yang mendasar. ISACA secara tegas menyatakan bahawa "IAM tradisional tidak berfungsi untuk AI agentik", dan membuat kesimpulan bahawa rangka kerja yang direka bentuk untuk era digital yang deterministik tidak sesuai dengan tingkah laku agen AI yang bersifat tidak deterministik.

Platform ID Ejen——Pemain yang Membentuk Pasaran

Pasaran KYa/ID Ejen telah menyaksikan penumpuan pemain secara pesat sejak separuh kedua tahun 2025.

Microsoft Entra Agent ID diumumkan pada Mei 2025 dan pratonton awamnya diperluaskan di Ignite 2025. Ia melanjutkan platform identiti Microsoft Entra kepada ejen AI, menjadikan ejen sebagai "entiti pembawa identiti kelas pertama." Reka bentuknya membolehkan akses bersyarat, prinsip sifar kepercayaan, dan tadbir urus identiti berskala besar diterapkan kepada ejen, menjadikan penerimaan lebih mudah sebagai perluasan semula jadi daripada pangkalan pengguna Azure AD/Entra ID sedia ada.

CyberArk telah melancarkan penawaran am (GA) bagi penyelesaian keselamatan identiti khusus ejen AI pada Disember 2025. Penyelesaian yang mendakwa sebagai pertama dalam industri ini memberikan tumpuan kepada kawalan keistimewaan ejen. Naib Presiden CyberArk, Shay Saffer, menyatakan: "Keselamatan ejen AI tidak wujud secara terpencil. Ia menjadi sebahagian daripada platform keselamatan yang lebih luas dengan identiti, akses, dan keistimewaan sebagai kawalan asas."

Okta telah mengumumkan "Auth for GenAI / Okta for AI Agents" yang dijadualkan untuk GA pada 30 April 2026. Ia menyediakan pelan tindakan (blueprint) untuk perusahaan agentik yang selamat, mengintegrasikan aliran pengesahan dan kebenaran ejen ke dalam platform Okta yang sedia ada.

Persona berjaya mengumpul 200 juta dolar dalam Siri D pada Mei 2025 yang dipimpin oleh Founders Fund dan Ribbit Capital, mencapai penilaian sebanyak 2 bilion dolar. Syarikat ini secara jelas menetapkan adaptasi platform pengesahan identitinya kepada "dunia AI agentik" sebagai strategi utama.

Veza telah diakuisisi oleh ServiceNow pada 2025 dengan harga kira-kira 1 bilion dolar selepas mengumpul 108 juta dolar dalam Siri D yang dipimpin NEA. ServiceNow telah membelanjakan 11.6 bilion dolar untuk akuisisi berkaitan keselamatan sepanjang 2025 sahaja, dan akuisisi Veza secara khususnya diposisikan sebagai langkah strategik untuk menyepadukan keselamatan identiti AI agentik ke dalam platform mereka sendiri.

Strata Identity adalah pelopor "identiti agentik" yang diiktiraf oleh Gartner sebagai vendor contoh, dan mempromosikan ARIA (Agent Relationship-based Identity & Authorization) — sebuah kerangka yang merekodkan semua delegasi sebagai hubungan yang boleh disahkan secara kriptografi dalam graf.

Penyertaan daripada domain blokchain turut berterusan. ERC-8004, yang dilancarkan pada rangkaian utama Ethereum pada 29 Januari 2026, adalah piawaian Ethereum yang mentakrifkan Ejen Tanpa Kepercayaan (Trustless Agents) — sebuah kerangka identiti, reputasi, dan pengesahan berasaskan pendaftaran dalam rantaian. t54 Labs pula sedang membina "lapisan kepercayaan untuk kewangan agentik" di atas rantaian XRPL, Solana, dan Base melalui pusingan benih 5 juta dolar yang disokong oleh Ripple, Franklin Templeton, dan Anagram.

Jurang Pelaburan dan Tadbir Urus — 88% Insiden dan 22% Kesediaan

Aliran dana pelaburan menggambarkan dengan jelas kepentingan mendesak bidang ini. Ekosistem syarikat permulaan keselamatan AI telah menerima pelaburan sebanyak $8.5 bilion kepada 175 syarikat dalam tempoh 24 bulan yang lalu, dengan $990 juta daripada jumlah tersebut tertumpu kepada 6 syarikat dalam domain IAM (Pengurusan Identiti dan Akses) sahaja. Pasaran ejen AI secara keseluruhan dijangka berkembang daripada $7.84 bilion pada 2025 kepada $52.62 bilion pada 2030, dengan kadar pertumbuhan tahunan kompaun sebanyak 46.3%.

Namun, terdapat jurang yang serius antara pelaburan dan realiti sebenar. Walaupun 88% organisasi melaporkan insiden keselamatan yang disyaki atau disahkan berkaitan ejen AI, hanya 22% yang melayan ejen sebagai entiti pembawa identiti yang bebas. Lebih mengejutkan lagi, 93% (28 projek) daripada 30 projek ejen yang dikaji hanya bergantung pada kunci API pemboleh ubah persekitaran, manakala 45.6% menggunakan kunci API dikongsi untuk pengesahan antara ejen.

Kajian yang dijalankan oleh Lightspeed Venture Partners ke atas 200 CISO (dari syarikat berpendapatan tahunan melebihi $500 juta) mengesahkan bahawa persimpangan AI dan keselamatan siber merupakan keutamaan pelaburan keselamatan nombor satu bagi tahun 2026. Dalam senarai Cyber60 2025-2026 mereka, BlinkOps (automasi keselamatan agentik), ConductorOne (keselamatan identiti berbilang ejen), dan Zafran (pemulihan kerentanan agentik) turut diserlahkan.

Greylock Partners juga aktif dalam sistem agentik, dengan pertaruhan portfolio merangkumi Adept, Axiamatic, Netic AI (penyelesaian tugas autonomi), Abnormal, Cogent, dan 7AI (pengesanan ancaman berasaskan AI).

Akta AI EU — Perkara 50 Menjadikan KYa sebagai Kewajipan Undang-undang

Akta AI EU telah dilaksanakan secara berperingkat sejak 2024, dengan amalan AI yang dilarang berkuat kuasa pada 2 Februari 2025, dan kewajipan model AI serba guna berkuat kuasa pada 2 Ogos 2025. Kemudian, Perkara 50 (Kewajipan Ketelusan) yang akan berkuat kuasa sepenuhnya pada 2 Ogos 2026 menjadi peruntukan penentu yang mengubah KYa menjadi kewajipan undang-undang.

Perkara 50 menuntut perkara berikut. Pertama, pendedahan interaksi AI — menyatakan secara jelas bahawa pengguna sedang berinteraksi dengan AI. Kedua, pelabelan kandungan sintetik — pengenalpastian kandungan yang dijana oleh AI. Ketiga, kewajipan pengenalpastian deepfake. Dan untuk memenuhi tuntutan ini, semua tindakan AI mesti dikaitkan dengan pengguna yang mempunyai kebenaran yang disahkan melalui IAM (Pengurusan Identiti dan Akses).

Selain itu, organisasi dikehendaki mengekalkan log bertandatangan yang mengaitkan output model dengan bahan sumber, versi model, dan dasar yang digunakan. Ini bermaksud kebolehkesanan penuh bagi tindakan ejen, yang merupakan keperluan yang amat sukar dicapai tanpa rangka kerja KYa.

Di Jepun juga, pergerakan telah bermula. PwC Japan telah menerbitkan "Identiti dalam Era Ejen AI: Risiko Baharu dan Tindak Balas yang Dicipta oleh 'AI yang Bertindak'", yang menunjukkan bahawa ejen AI secara fundamental menggugat premis pengurusan identiti. Institut Promosi Teknologi Maklumat (IPA) telah menubuhkan kelas AI red-teaming baharu dalam Kem Keselamatan 2026, mengintegrasikan ancaman sistem LLM dan berbilang ejen ke dalam kurikulum pendidikan. LAC (Lac Corporation) menjadikan "Kedatangan Era Ejen AI dan Langkah Pencegahan" sebagai tema utama dalam laporan RSA Conference 2025.

RSA Conference dan Davos——Penumpuan Perbincangan Global

RSA Conference 2025 (San Francisco, Mei 2025) mengumpulkan kira-kira 44,000 peserta dan lebih 650 pameran — yang terbesar setakat ini — dengan AI agentik, tadbir urus, dan identiti sebagai tema dominan. Bagi RSAC 2026 yang dijadualkan pada 23–26 Mac 2026, AI agentik kekal menjadi tumpuan utama program, dengan perbincangan merentasi 29 trek dan dua pentas ucaptama.

Dalam Forum Ekonomi Dunia di Davos pada Januari 2026, nada perbincangan berubah dengan ketara. Fokus bukan lagi pada "potensi" ejen AI, tetapi pada "tadbir urus masa nyata" sistem berbilang ejen. Platform etika AI Credo AI menyampaikan mesej di Davos 2026 bahawa "AI yang boleh dipercayai akan menjadi enjin pertumbuhan tahun ini," manakala WEF (Forum Ekonomi Dunia) mencadangkan model tadbir urus dua lapisan — "teras perlembagaan" global yang dikongsi bersama dan "lapisan tempatan" mengikut bidang kuasa undang-undang. Laporan WEF 2025 mendedahkan bahawa 82% pemimpin peringkat eksekutif merancang untuk menggunakan ejen dalam tempoh satu hingga tiga tahun.

VC Cafe mengisytiharkan ramalan 2026 mereka: "Jika 2025 adalah tahun chatbot, maka 2026 adalah tahun 'pekerja ejen.' Produk yang menang ialah yang memiliki lapisan identiti, kebenaran, dan tindakan."

Geopolitik Web Agentik — Siapa yang Menguasai Infrastruktur Kepercayaan

Web Agentik — web masa depan di mana ejen AI merayau internet secara autonomi sebagai wakil manusia — dalam merealisasikannya, infrastruktur identiti dan kepercayaan memainkan peranan asas yang setanding dengan DNS, sijil SSL, dan pendaftar domain pada zaman dahulu.

Agent Name Service (ANS) yang dicadangkan oleh OWASP membayangkan "DNS untuk ejen" dalam konteks inilah. Ia merupakan pendaftaran global yang mengenal pasti ejen secara unik, mengesahkan identiti dengan sijil PKI, dan membolehkan penemuan keupayaan serta kebenaran. Bukanlah suatu kebetulan bahawa GoDaddy sedang memulakan pembinaan pendaftaran ANS — bagi GoDaddy yang telah mengendalikan infrastruktur kepercayaan internet selama beberapa dekad sebagai pendaftar domain, pendaftaran nama ejen adalah sambungan semula jadi.

Siapa yang menguasai "infrastruktur kepercayaan" ini adalah soalan yang amat penting dari sudut geopolitik. Google dan Microsoft menyertai AAIF, NIST mendorong penyeragaman persekutuan, dan EU mengenakan keperluan undang-undang melalui Akta AI. China sedang membina rangka kerja tadbir urus AI tersendiri. Jepun sedang menyesuaikan diri dengan piawaian antarabangsa melalui analisis RSA Conference dan pendidikan keselamatan IPA.

Pihak yang menetapkan piawaian pengesahan ejen, secara praktikalnya, akan menulis peraturan ekonomi agentik. AAIF dan NIST sedang berusaha memikul peranan yang dimainkan oleh ICANN, IETF, dan W3C pada zaman awal internet. Kesannya akan menentukan struktur industri teknologi dalam tempoh sepuluh tahun akan datang.

Impak kepada industri

Kebangkitan KYa (Know Your Agent) membawa perubahan struktur berikut kepada industri teknologi.

Pertama, identiti ejen menjadi lapisan platform baharu. Sama seperti pengkomputeran awan yang pernah melahirkan lapisan IaaS/PaaS/SaaS, identiti, pengesahan, dan kebenaran ejen kini membentuk kategori pasaran yang tersendiri. Berdasarkan ramalan Gartner, menjelang tahun 2028, transaksi B2B yang diperantarai oleh ejen akan mencapai 15 trilion dolar, dan kerangka KYa akan diterapkan pada setiap transaksi tersebut. Saiz pasaran lapisan infrastruktur ini dijangka berkembang jauh melampaui pasaran IAM semasa yang bernilai 24 bilion dolar.

Kedua, peta kekuatan vendor keselamatan akan berubah. CyberArk mendahului dalam kawalan keistimewaan ejen, Okta mengintegrasikan pengesahan ejen ke dalam platformnya, dan Microsoft mengunci ekosistem melalui Entra Agent ID. Sementara itu, syarikat permulaan seperti Persona, Sumsub, Strata Identity, dan t54 Labs menyasarkan ceruk yang tidak dapat diliputi oleh pemain besar — pengikatan ejen-ke-manusia (agent-to-human binding), identiti teragih, dan kepercayaan berasaskan blok rantai. Aktiviti M&A semakin rancak — pengambilalihan Veza oleh ServiceNow bernilai 1 bilion dolar hanyalah permulaan.

Ketiga, seni bina keselamatan perusahaan dipaksa direka bentuk semula. Syarikat yang menggunakan ejen mesti mengintegrasikan "pengurusan kitaran hayat identiti khusus ejen" ke dalam sistem IAM sedia ada. Ini bukan sekadar sambungan akaun perkhidmatan, tetapi seni bina baharu yang merangkumi akses bersyarat, pemantauan tingkah laku masa nyata, dan jejak audit kriptografi. Ramalan Gartner bahawa "lebih daripada 40% projek AI agentik akan dibatalkan menjelang 2027 akibat tadbir urus yang lemah" mencerminkan betapa seriusnya cabaran seni bina ini.

Keempat, persekitaran regulasi memaksa penggunaan KYa. Penguatkuasaan penuh Perkara 50 Akta AI EU pada Ogos 2026 mewajibkan kebolehkesanan tindakan ejen bagi semua syarikat yang beroperasi di Eropah. Inisiatif piawaian NIST berkemungkinan menjadikan pematuhan KYa sebagai syarat de facto dalam perolehan kerajaan persekutuan Amerika Syarikat. Tekanan regulasi kini telah beralih daripada persoalan "haruskah dilakukan" kepada "bilakah perlu dilakukan."

Kelima, permintaan bakat baharu meledak. Arkitek pengesahan ejen, jurutera keselamatan agentik, pakar tadbir urus AI, pereka bentuk identiti kriptografi — peranan-peranan ini hampir tidak wujud pada tahun 2025, namun menjelang 2027, ia dijangka menjadi jawatan keselamatan siber yang paling tinggi permintaannya melebihi bekalan.

KYa adalah tembakan permulaan perang platform yang memperebutkan lapisan infrastruktur ekonomi ejen AI. Berbeza dengan industri kewangan yang mengambil masa berdekad untuk melembagakan KYC, seperti yang ditunjukkan oleh Neville dari a16z, industri AI hanya mempunyai "beberapa bulan" untuk membina KYa. Tekanan masa ini secara serentak mendorong persaingan piawaian, tumpuan pelaburan, dan pecutan M&A.

---

Maklumat Rujukan: a16z crypto "AI in 2026: 3 trends" (Januari 2026), NIST "AI Agent Standards Initiative" (Februari 2026), NIST NCCoE "Accelerating the Adoption of Software and AI Agent Identity and Authorization" (Februari 2026), OpenID Foundation "Identity Management for Agentic AI" (Oktober 2025), Linux Foundation "Agentic AI Foundation" (Disember 2025), Google Developers Blog "A2A: A New Era of Agent Interoperability" (April 2025), Anthropic "Model Context Protocol Specification 2025-11-25", IETF "draft-rosenberg-oauth-aauth-00: AAuth", OWASP "Agent Name Service (ANS)" IETF Draft, Sumsub "Know Your Agent Framework" (Januari 2026), CyberArk "Secure AI Agents Solution" (Disember 2025), Okta "Auth for GenAI" (2026), Microsoft "Entra Agent ID" (2025), Pengumuman Siri D Persona (Mei 2025), Strata Identity "ARIA Framework", Ramalan Gartner mengenai Ejen AI (2025-2026), PwC Japan "Identiti di Era Ejen AI", IPA "Kem Keselamatan 2026", LAC "Laporan Persidangan RSA 2025", World Economic Forum "AI Governance Framework" (2025-2026), Credo AI "Laporan Davos 2026", CIO.com "Know Your Agent: The New Frontier", Crunchbase "Identity Security Startup Funding Report", arXiv:2505.19301 "Zero-Trust Identity Framework for Agentic AI", Piawaian Ethereum ERC-8004 (Januari 2026)