Opal Security's Umaimah Khan on Security-First Identity
36:00 Share

用户名和密码往往是网络罪犯与组织数据之间唯一的屏障。虽然这看起来显而易见，但实施更强大的身份控制对于组织来说历来是一个挑战，因为切断威胁访问的机制也会妨碍员工访问他们完成工作所需系统的能力。Opal Security成立的目的是为了解决这种矛盾。Opal Security首席执行官兼联合创始人Umaimah Khan与Greylock合伙人Saam Motamedi讨论了该公司以安全为首要目标提供可扩展的最小权限，同时又不减慢业务速度的使命。您可以在此处阅读本次采访的记录：https://greylock.com/greymatter/security-first-identity/ 了解更多关于您的广告选择的信息。请访问megaphone.fm/adchoices</context> <raw_text>0 大家好，欢迎收听本周的Grey Matter节目。我很高兴能邀请到Umema Khan。Umema是Opal Security的联合创始人兼首席执行官，我有幸从公司成立之初就与她一起在Opal工作，今天非常高兴能邀请她来谈谈她自己以及Opal正在为重新定义身份安全所做的事情。Umema，欢迎。嗨，Sam。很高兴来到这里。

我们有很多事情要谈，但让我们先从宏观层面开始。对于不了解情况的听众来说，Opal Security是什么，Opal Security做什么？

是的，我们是一个身份安全平台，旨在涵盖所有身份和访问管理。这意味着我们将所有系统中的身份和OTSI数据进行提取、规范化和校准。因此，您不仅可以随时查看谁拥有哪些访问权限，还可以获得必要的上下文和工作流程来校准和纠正。

那么，为什么？目标是让人们获得我们称之为“现实世界最小权限”的东西。灵活、可扩展、适应性强、智能化。在这次谈话过程中，我可能会使用一些比喻，但我们内部非常喜欢使用的一个比喻是自动驾驶技术。如果您考虑驾驶汽车，它实际上非常依赖于环境。

城市发展水平、驾驶员的相对经验、当地规章制度、文化礼仪。然后还有一些关于持续良好驾驶的共同点，这主要由法规驱动。因此，将身份和授权视为这一阶段的非常原始的阶段。没有连续的传感器数据，更不用说基础设施或算法来帮助做出良好的自动化决策并灵活地进行更新。

但最终你会到达一个你可以在这片土地上运作的点，并且你让一个人参与到最关键的决策系统和情境中去学习。因此，可解释性、透明度、弹性非常重要。因此，从产品角度来看，这意味着我们不仅构建底层ETL和数据层，我们还做了很多经典的机器学习和图分析，以便我们实际上可以开始让人们养成将访问和身份视为一种可扩展的、持续监控的安全第一系统的习惯。是的。我想说的一件事，

提到并询问你，然后我们将跳到Opal，以及你在最后谈到的内容。作为一名风险投资家，我经常被问到，“嘿，你寻找创始人的什么特质？”实际上，我经常想到你，我想到你的具体方式，我有很多事情钦佩你，但我想到的具体事情是你既非常技术性，又了解客户以及如何让客户获得价值。

我发现对于许多来自技术背景的创始人，无论是数学、计算机科学、工程还是公司，他们可能拥有技术方面的能力，但他们没有等式的另一半。我希望我们的听众能更多地了解你。所以，多告诉我们一些关于你自己的事情，以及Maima，你是如何开始创业，现在成为Opal的首席执行官的？哦，天哪。是的，这是一个有趣的问题，对吧？我认为……

对我来说，这是一种非常独特的方式，既有个性化，又很自然。我已经提到过几次了。我是在家接受教育的，所以这可能是我生命中一个相当重要的时刻。我会把我的童年描述为很大程度上是无人监管的，或者说是野生的，这取决于你如何看待它。

但是，你知道，这对初创企业来说是很好的训练。我过去常常为此感到害羞，但它实际上让我养成了思考目标和模糊环境的习惯。我小时候就爱上了数学。我在高中和麻省理工学院的大学里都学习了很多纯数学，最初非常非常坚定地要成为一名学者。我认为，你知道，我将去某个地方成为一名数学教授。

而且，你知道，这很有趣。我会说我喜欢非常大的模糊问题，你可以将这些部分连接起来，思考统一，并创造性地思考。但我也意识到，当我看不到结果时，我会变得非常疯狂，我喜欢，我喜欢看到事情有所进展的多巴胺的冲击，所以

我所涉足的是密码学，密码学非常独特，因为它在二战之前，数论被认为是完全无用的，是一个非常美丽的领域，直到人们意识到它有安全应用。而这实际上，我认为是安全领域有趣的事情之一，它具有这种特性，它将这些非常抽象的技术转化为非常现实的技术。在那之后，我去了华盛顿特区，我在联邦政府工作，从事密码学研究。

最终在我的职业生涯中，获得了大量的经验。在那之后，我在一家早期创业公司工作。我在一家中期创业公司工作。我在开源领域工作。我认为只是……

有了这种学习和接触的速度。回顾过去，我注意到了一些独特的事情。一个是，我喜欢在企业工作。我认为，当你天生具有创造力或产品导向时，务实的约束会有所帮助。如果你能利用它，这是一个非常积极的组合。而且你还可以观察到问题，在市场意识到它们之前。所以在我的情况下，特别是，我

我不断地，我始终如一地注意到，从政府的违规行为到小型初创企业，身份和访问基本上到处都是问题。从我在华盛顿特区的时间到超早期阶段的公司，

这有点令人着迷，因为人们几乎会把它当作一个专业服务问题来对待。他们实际上并没有赋予它作为技术上困难和模糊问题的严重性。因此，他们要么完全忽略它，因为他们相信还有更多需要解决的更难处理的安全问题，要么认为会出现一种标准技术来解决所有问题。

起初我也这么认为。然后我意识到，哇，这太天真了。我们拥有如此多的优秀技术。我们在身份验证、授权和身份方面经历了非常陡峭的创新曲线。我们拥有最新最好的加密标准和多因素身份验证等等。虽然它们都很优秀，但有一个关键的见解。我意识到它们都是策略。问题不在于构建这些技术，而在于你如何部署它们，以及在什么组合和什么环境中部署它们。所以是的，

简而言之，我有效地疯了，并在两年时间里与任何愿意倾听的人谈论这个问题。我遇到了许多怀疑论者，也遇到了许多信徒。最终，它导致了Opal的诞生。我喜欢你刚才提到的许多事情。很多事情都引起了共鸣，包括速度，或者我应该说是在某些学术环境中缺乏进展的速度，这也是我从过去的工作中记得的。

那么，在你Opal之前的职业生涯中，你做了哪些事情来帮助你建立对如何与客户互动、如何将客户所说的内容与产品联系起来以及如何交付产品的理解？我现在每天都在Opal看到这一点，但是什么让你理解了这一点？

这是一个很好的问题。我的意思是，其中一些是，你知道，我只是幸运地在那种环境中工作，你知道，在国防工业工作，在企业软件工作，你多少了解企业如何扩展以及如何，即使你不是领导这些对话的人或你的前台人员，这也是一种接触。这就是我所说的。第二件事是，我认为对我个人来说，我认为这是一种

自我意识，我非常舒服，我总是想从技术上解决问题，或者创造性地思考，或者从技术角度思考。因此，尝试思考我将如何以另一种方式解决这个问题是一个学习机会。我认为，就像有一种更广泛的观察，即，你知道，过去曾经存在一种二分法，人们过去认为B2C公司、产品公司用产品或技术解决问题。

产品问题与产品或技术，而企业公司通过仅仅从客户那里获得反馈来解决问题。我认为这种区别并不那么明显。我认为你实际上需要两者兼顾。因此，认识到它不是零和博弈，不是非此即彼，而是带着好奇心来处理它，对吧？我认为这有点像随着时间的推移而产生的谦逊，意识到抽象并不能解决所有问题。对。倾听可以。对。

是的，完全正确。事实证明，倾听并真正理解客户的要求非常困难。

是的，我认为我还要补充一点，特别是关于安全方面，你知道，有时人们会在安全市场中谈论这个概念，即没有灵丹妙药，对吧？其含义是，你通常在一个你没有大量非常清晰或简洁的信息或前后信息的环境中运作，直到发生违规行为之后。因此，当您考虑安全时，

购买或销售安全产品，不仅仅是说，我的产品很好。这是不言而喻的。你实际上必须坐下来了解人们如何处理技术组合在一起。——完全正确。你谈到了关于身份验证、授权、身份挑战的思考路径。

所有这些在当今世界都更加重要。我觉得我每周都阅读新闻，以了解另一个始于某种身份相关问题的网络攻击。我喜欢你关于现实世界最小权限以及这种最小权限优先方法对身份和访问管理的论述。

我们应该更多地讨论它。在我们深入探讨这意味着什么之前，请告诉我们背景情况。世界正在发生什么变化，为什么我们不断看到所有这些围绕身份的网络攻击，以及为什么需要与身份和访问管理相关的可操作的最小权限？

是的，这是一个很好的问题。你知道，我倾向于将这些事情分解成几个变量。一个是市场时机。我认为，你知道，有时这些变化会突然发生，人们意识到，我们真的需要更好地解决这个问题。通常情况下，它与其他几件事相结合。例如，如果

监管是一个很大的因素。当美国证券交易委员会要求上市公司披露违规行为时，这是一个强制性因素。人们必须将事情公之于众，并解释，好吧，这就是为什么发生这种情况的原因，以及为什么这种情况不会再次发生的原因。它对业务及其风险具有重大影响。

我相信技术转变在安全领域也是一个非常重要的因素。我们看到的每一个主要的既定安全参与者都与技术转变非常吻合，无论是云计算、网络，还是从数据中心迁移。所以现在我们正处于技术转变之中。

转变，既仍在经历云计算的爆炸式增长，也看到了人工智能的转变。所以我认为，就像有什么东西必须变得更好一样，有一种早期的隆隆声。然后，正如你所说，看看新闻。似乎几乎每天都有一次重大违规事件，例如上周的AT&T，他们几乎所有的记录都被一个仅通过用户名和密码保护的数据源泄露了。没有时间控制，可能几乎没有流程来对他们的核心资产进行必要的监控。

这可能会无限期地持续下去，直到它不可避免地被发现，因为人们在创建业务时很少将访问视为安全第一的问题。我认为这种情况正在改变。

是的，我完全同意。关于访问的一个有趣的事情是，以及正确地获得访问，就像有两面硬币一样。如果我错了，请纠正我。一个是，我需要增强组织的安全态势。但另一个是，我是员工及其生产力和开发人员生产力的门户。因此，问题是如何在增强安全态势的同时提高人们的生产力？是的。

完全正确。是的，历史上存在这种自然的张力，对吧？说到底，当你建立一个企业时，你想解锁收入，你想保持你的增长轨迹。你达到一定的成熟度拐点，这时风险计算就会发生变化，对吧？一旦你达到AT&T的规模，与快速发展相比，你的记录被泄露对你的收入底线的影响要大得多。我认为，你知道，再次回到比喻，

在这种情况下，最好的解决方案实际上是面向产品的。他们认识到，你必须通过产品工作来协调激励措施。我喜欢举的例子是GitHub。最终，我们喜欢在内部开玩笑说GitHub是一个合规工具。我有时喜欢问人们，你认为组织中谁会购买GitHub？你在想什么？就像它被用来打勾一样。但这不是你在组织中思考它的方式。你实际上认为它可以加快开发速度，并帮助人们更快地获得上下文。

是的，完全正确。完全正确。我们谈到了其中一些攻击案例。让我们转向一些客户案例，因为我认为对于使用Opal的客户和企业来说，他们可以放心，他们不会面临这些类型的身份攻击。因此，在我们深入探讨这些案例之前，

客户如何表达他们用Opal解决的问题？这与你刚才所说的相似之处和不同之处在哪里？是的。所以，你知道，我认为这是一个早期颠覆性市场。这意味着很多时候，人们正在形成他们自己对良好状态的理论，并且正在以不同的方式进行这些对话。

也从分享他们的经验教训的角度出发。但有一些共同的主题。一个很大的主题是可见性，对吧？当你谈到像只是等待知道你什么时候会像，你知道，你的核心资产会被攻击时，你会一直考虑可见性。编排是另一个非常常见的主题。我们将如何实施工作流程或基础设施，以便随着我们业务随时间的变化而扩展？然后是弹性。我认为这一个经常被忽视，

对你来说非常非常重要，就像这是一个非常非常基于信任的关系，你信任某人来基本上向你展示你组织中正在发生的事情，你需要能够回滚它，你需要能够扩展它。那么，你如何构建组织最终可以信任、在其之上构建和扩展的系统和基础设施呢？

我想说的是，人们来找我们做的第一件事是，我称之为市场中的两种原型。一种是处于增长轨迹的早期企业。他们正在寻找收入解锁，但他们也在寻找可以帮助他们在适当位置建立良好卫生习惯的人，这样当他们达到成熟的下一个阶段时，无论是IPO、向大型企业销售还是受监管的环境，他们都是从良好的卫生习惯开始的。

对他们来说，这实际上是关于从安全第一的角度出发，在不减慢业务速度的情况下推动最小权限。因此，这里的一个例子是，你知道，如果我们在IPO或类似事件之前抓住一个组织，他们通常对

如何管理访问权限有一个很好的了解，他们只是知道未来会出现一些事情会让它变得混乱，他们希望今天就建立基础设施来巩固其中的一些内容并帮助它发展，这就像……有点像……创新者，他们就像行业的先锋，他们经常在以前的工作中建立了这样的系统……第二个市场我称之为……

成熟的、根深蒂固的，混乱就在家中。这些人正在寻找有人带着砍刀进来，向他们展示他们需要清理哪些访问权限。所以特别是对于核心资产。因此，你必须考虑分阶段推出。因此，我们在这里看到的客户最常见的案例是，帮助我们控制AWS，帮助我们控制Snowflake，帮助我们控制Azure。因此，他们对以下情况有一种模糊的感觉：哦，我的上帝，已经30年了。

谁知道骨架在哪里？我们大致知道核心资产在哪里。向我们展示正在发生的事情，并帮助我们立即纠正它。所以这很好，因为作为一个产品，我们可以捕捉到这种主动和被动循环。我喜欢你对市场上这两个群体以及成熟度和痛点的描述方式。重叠之处和不同之处有多少？你如何构建一个能够吸引两者的产品？哦，我喜欢这个问题。所以我是

我，你知道，从产品的角度来看，我实际上将其分解成某些主题。如果我戴上我的技术产品帽子，我认为第二个成熟的市场将帮助你从基础设施层面考虑你的产品。例如，你需要做什么才能扩展？你需要如何考虑底层基础设施？你需要如何考虑存储层？你需要如何考虑

所有边缘情况。第一个市场对于帮助你建立这种内部循环反馈来说非常有价值，这种反馈应该说明该行业在未来5到10年的样子。我认为那里最大的主题是可用性、UI、UX，这在企业产品中经常被忽视，但我们越来越发现它是一个不可协商的因素。所以这些人

无论是组织规模还是因为他们习惯于使用一流的产品，都会对可用性应该是什么样子有非常强烈的意见。他们帮助推动了后一个市场。你在后一个市场中为规模而构建。

是的，完全正确。取得这种平衡非常困难，但当你取得平衡时，它就会非常强大。正如你所说，这些事情通常会在很长的时间范围内融合。如果你考虑市场的这两个细分市场，也许分别考虑每个特定类型的客户或案例研究以及人们如何使用Opal。是的，我认为在第一个类别中，你会看到……

通常是在早期企业中，在企业软件、基础设施、人工智能、机器学习等垂直领域，在任何他们处理大量数据并意识到他们必须以某种方式运作的地方。因此，这些公司通常已经拥有非常好的基因，例如工程安全、IT，并且他们对良好状态的样子有所了解。

因此，他们会这么说：这就是我们想要在第一天就分解如何授予访问权限的方式。这就是我们想要分解如何对像值班关键基础设施系统进行即时访问的方式。这是我们需要将其集成到我们的SIM工具和生态系统中的数据类型。这是一种非常……我几乎会将其描述为一种直观的销售。实际上，你所做的就是了解，如果你都拥有这种相同的安全背景，这种理解未来应该是什么样子的安全基因。

第二个市场，想想大型银行、民族国家行为者、媒体，你来到谈判桌前，不一定对产品的样子有意见，但对以下情况有非常非常清晰的认识：这是核心资产。无论发生什么，我都不能让这10个系统被攻击。你将如何清理它们？在那里，我们

我们谈到了我们在Opal中构建的一些补救策略。有一些非常……你知道……有一些非常简单的事情，很难大规模应用。因此，这里的一个例子是，对于我们的一位大型财富500强客户来说，在所有关键系统中应用双因素身份验证，或者在所有生产AWS帐户中应用即时访问。

并使这与堆栈中已有的任何内容都能很好地配合，但增加了额外的保护层并提供了可衡量的结果。因为我认为这在安全领域经常被遗忘的另一件事是，你不仅仅是为了你的团队修复这些问题。你实际上必须横向地向你的姐妹团队、向上，有时在董事会层面，对吧，向你的管理层沟通你如何变得更好。因此，你实际上必须展示在第二个市场中事情是如何持续变得更好的。

说得通。也许转向客户如何与Opal互动，你实际上在那里提到了与堆栈配合使用。像什么是常见的身份堆栈？而且，你知道，如果我使用像Okta这样的东西，或者在身份治理方面使用SailPoint，或者在特权访问方面使用CyberArk，那么你在哪里互动？你在哪里让现有的解决方案更好？你在哪里竞争？思考这个问题的正确方法是什么？

是的，这是一个很好的问题。我认为这也是我们生存的祸根，因为

人们实际上将身份堆栈视为一种，让我们把东西扔到墙上看看它们是否能粘住。因此，这意味着投入了大量的资源和资金，但没有获得大量的可衡量结果。但正如你所说，有一些共同点。几乎每个人都有一个身份提供商。如果你是规模不断扩大的工作场所，你需要有一些数字身份的概念。因此，我们与身份提供商（例如Okta或

Microsoft Entra或组等）连接。并且你想将其用作开始输入身份数据的基线。另一件主要的事情是人力资源系统，在一定规模的组织之后，这些系统很难保持同步，但它们拥有大量关于一个人是谁的信息，以帮助进行一些长期工作流程和补救措施。

在堆栈的更下方，你拥有这些非常非常敏感的系统，例如你的超大规模系统、内部工具、客户模拟，有时是敏感的SaaS应用程序或业务关键系统，例如NetSuite或SAP。所有这些东西都非常敏感，以至于它们实际上已经构建了自己的定制授权。

因此，我们最终所做的是坐在这些类型的事情的中间，实际上整理所有这些信息，并帮助人们实际可视化，好的，这个身份来自哪里？它向下传递到哪里？他们在做什么？对此设置了哪些策略？它们是如何使用的？它们正在被使用吗？提取这些内容的使用数据。因此，这使我们能够真正填补这个缺失的上下文区域。

并且因为一切都是API优先的设计，这意味着如果要采取可见性之后的步骤，我们也可以开始对这些内容进行更改。你提到了治理堆栈。因此，我们在Opal谈论的一件事是，良好的合规性是良好安全性的结果。

GRC，你知道，他们有一项非常重要的工作。他们必须证明我们正在打勾，事情正在运行，他们能够提供证据证明人们实际上正在很好地实施这些流程。但他们通常没有这些内容的真实来源。因此，他们正在花费几个季度的时间来构建这些手动电子表格，试图确定人们实际上拥有哪些访问权限。因此，存在一种自然的融合，我们拥有真实来源。

我们最终正在整理所有这些信息。我们正在提供可见性。我们正在调整策略。我们实际上可以做到的事情是，甚至可以将故事简化为说，嘿，实际上，没有人长期访问AWS中的这个数据库。因此，你符合这个合规性要求，然后继续。许多客户在开始申请FedRAMP中级或FedRAMP高级时，实际上已经开始这样做，这实际上是他们SSP的一部分。是的，这非常有趣。我认为……

从我的角度来看，你正在处理一个历史上非常分散的空间，这会带来两个挑战。一个是，我必须拥有这个分散的堆栈，这意味着我有很多工具需要管理。然后第二个是事情会落入缝隙中。因此，在风险识别和补救方面，我都受到工具孤立性质的限制。你正在创建一个融合的架构

可以与堆栈中已有的内容互操作并配合使用，但可以融合该空间。这似乎是客户喜欢Opal的原因。

是的。我认为这是一个非常关键的点，不是要反复强调AT&T的攻击事件，而是，我的意思是，想想看。事实上，有1.1亿条记录不仅仅是某种程度上被忽略了，没有人意识到它正在以这种方式使用，它只被用户名和密码保护着。对。这是拥有这种分散的访问堆栈、这种分散的身份堆栈的结果。所以你需要那个，

正如你所说，整体融合。如果可以的话，融合的另一个要素是关于人和角色，对吧？我认为关于身份的有趣的事情之一，你谈到了安全与合规性，但这有很多方面。是的。因此，如果你看看你今天服务的企业，那么参与开源的人是谁？

是的。我喜欢开玩笑，我称之为三位一体。因此，作为基线，显然访问会影响工作场所中所有用户的不同深度级别，但

我们主要与安全、IT、工程和 GRC 部门的人员互动。我们的工作是协调这些利益相关者的各种激励措施，并帮助他们认识到，这种安全优先的方法实际上会帮助他们，而不是减慢他们的速度。我们主要向安全部门销售，因为我们相信这是一个安全问题。我们在业界一次又一次地看到，一旦发生数据泄露，身份就会

责任转移到安全部门，但你也必须满足业务的需求，对吧？那么，在效率、可用性以及帮助人们建立正确的文化优先级方面，这看起来是什么样的？在工程方面，因为我们的产品从根本上来说非常灵活，而且也是为开发而构建的，所以也存在一种自然的关系，是的，完全正确，我

我一直对 Opal 感到震惊，我觉得 Opal 是安全堆栈中唯一一个安全角色和开发者都喜欢的工具，因为这使得他们的工作更好，效率更高。是的。我认为这部分要回到早期的客户吸引力，以及我们自身的一些 DNA，对吧？我没有提到这一点，但我在我上一家创业公司创建了 Opal 的早期版本。而且

你知道，我们的一些早期客户，Sigma、Databricks、Scale.ai，他们来自经历过与我相同轨迹的团队，他们感到沮丧的是，没有一个好的工程系统能够为整个业务服务。我只是卷起袖子，自己承担了这项工作。我认为，你知道，我们谈论了很多关于客户以及构建企业 SaaS 公司的重要性。但我认为架构决策也很重要。这是那些当你有一个边缘买家在房间里时真正闪光的事情之一，人们会注意到经过深思熟虑的架构是什么样的，他们将能够思考规模和权衡以及诸如此类的事情。这是我们一直非常擅长的事情，因为这也是 Opal 的 DNA。完全正确。好吧，我们没有谈论 Opal 的话题。我认为我们正在讨论的另一个话题是，呃，

是现在科技界很难避开的一个话题，那就是人工智能。关于人工智能，我们可以讨论很多，但我希望在 Opal 的背景下，在安全的背景下讨论它，对吧？那么，人工智能在 Opal 中扮演什么角色呢？是的，我非常喜欢这个问题，你是对的。我们已经详细讨论过这个问题，因为，你知道，我工作的一部分也是思考技术转变将如何影响我们以及它如何变化和发展。因此，我认为退一步说，我，

当我想到更广泛的人工智能领域时，我认为在这一点上，重要的里程碑和学习主要来自大型前沿商店或大型研究机构。

但是，在周边生态系统中还有很多工作要做。我们正处于开始在更小、更专业的用例中看到应用的阶段。虽然它本身并不是护城河，但你开始在基础设施部署和监管方面看到强劲的吸引力。因此，我相信，我们相信企业可能会继续使用越来越定制化、更小的开源模型，这些模型将把这些工具纳入他们的开发堆栈，对吧？而且……

他们还将关注隐私和安全，他们不想，你知道，将所有这些都提供给提供商，并冒泄露其数据的风险。所以，

这对我们来说意味着我们必须考虑客户的环境以及他们如何部署是如何变化的。那么攻击面有何不同？例如，非人类实体在访问方面是如何运作的？皇冠上的珠宝是如何演变的？一个明显的例子是 PII 变得像一个巨大的，你知道，训练集，你知道，我在医疗技术领域工作过一段时间，PII 被锁定

在运营和只有数据工程团队才能访问。现在每个人都说，不，不，不，我们必须进行培训。所以皇冠上的珠宝正在进化，访问这些皇冠上的珠宝的商业案例也在进化。因此，你必须考虑这些攻击面。你必须考虑企业自身是如何发展的。

从技术创新的角度来看，我会考虑两种视角。一个是我们在一个非常丰富的数据环境中运作，对吧？不仅仅是我们谈论过的调整策略和身份原语，还包括人们如何使用、请求、访问、保留访问权限，对吧？他们是如何做出这些判断的。

如果我们为访问更改的决策提供透明度和可解释性，我们实际上就有一个独特的机会来引入新的自动化形式，并结合不同类型强化学习和宪法模型。如果你曾经见过，比如几年前有一篇 Anthropic 的论文，有一些自动化。这又回到了效率的主题。你知道，凌晨两点或晚上九点的时候，你知道，

你已经尽可能地扩展了规模，但你是工程经理，你就像，这是什么票据？我在做什么？现在我必须写出理由。这个请求者正在写理由。如果你有可解释性和透明度的基线，那么就可以做很多事情。

我们考虑的另一个领域是协同生成。随着协同生成的改进，我们在具有大量人工输入、审查和修复的相对明确的语言中运作。因此，诸如 IAM 策略创建和调整之类的任务比两年前更加高效和熟练。这是一个有趣的领域。你知道，我过去在这方面做过一些研究，我过去有点怀疑。就像我说的那样，太好了，现在我们只是要在策略上制定 AWS IAM 策略。

但是，在验证、纠正和生成像样的策略方面的技术实际上已经很好了。我认为这是授权真正起飞的另一个领域。

是的，我认为这些都是你们如何利用人工智能的很好的例子。我很好奇，有点无关的问题，那就是，你知道，你是一家快速发展的公司的首席执行官。很多人工智能技术都相对较新，而且发展速度非常快。作为内部领导者，对于其他正在听的创始人来说，你有什么最佳实践来鼓励你的工程团队

一方面，不要让自己分心，鉴于变化的速度之快，很容易做到这一点。但另一方面，要了解正在发生的事情，特别是它如何应用于加强 Opal 的产品并为客户带来新功能。是的，我喜欢这个问题。我认为这非常，这总是像每个创始人都会设定他们的文化，而且非常依赖于公司。

但即使在过去的工作中担任工程领导者，我总是喜欢做的一件事就是组织论文阅读小组。我一直组建非常好奇的工程团队，他们也是实用主义者。但是，你知道，了解文献实际上很重要。这甚至不是特定于人工智能的。我认为在过去的十年里，数据库技术发生了彻底的爆炸式增长。我记得当时有一种需要，就像，发生了什么？最新的情况是什么？最好的情况是什么？我们如何将它整合起来？

然后是关于分心的第二点。我认为这实际上来自于非常清楚地了解你正在解决的问题，并拥有真正辩论优缺点的文化。我前面提到过，我们在 Opal 做了很多经典的机器学习，这并不是一种反向立场。我们很多工程团队，你知道，

来自 DeepMind 和 Meta 等地方。他们实际上在人工智能堆栈的不同层次上工作过。但我们考虑的是我们今天需要做什么，以及我们需要关注什么，以便我们能够以合理的方式继续创新。我们将此与业务需求联系起来。

我们在堆栈的非常关键的部分工作。我们需要始终建立信任、透明度和准确性。当你处理关键决策系统时，如果你考虑异常检测，即使是在信用卡或欺诈等方面，你也不想分心。首先，你需要确定你知道自己在做什么以及如何解决问题，然后才能开始分层添加不同类型的创新。所以，我认为

公司在解决什么问题上保持一致，但也为继续保持好奇心和了解情况留出空间。是的，绝对正确。这引出了我对你最后一个问题，那就是 Opal 的下一步是什么？如果你考虑一下，比如说两年后的情况，然后是五年后的情况，那么我会问你两种形式的问题。Opal 会是什么样子，企业保护其身份的方式将如何改变？是的。是的。

你和我有时会谈论的一个主题是定位。我经常思考，而且我在这次谈话中已经提到过，这种安全优先的身份理念。我认为现在有一个独特的机会和一个独特的窗口，比如说在未来两年内，真正确定构建安全优先身份公司意味着什么。

而且，你知道，这在实践中意味着改变我们衡量、监控以及思考设计身份解决方案和身份堆栈的方式。正如你所说，我们已经看到了一些最初的早期迹象，你知道，已经有了整个非人类身份领域，但实际上并没有这种有凝聚力的，几乎像宣言一样的东西，这就是你必须考虑身份安全的方式。

我认为我们有一个独特的机会来设定一些先例。因此，持续监控、立即补救，不要等待监管来强制做出更好的授权决策，而是从一开始就将它们直接构建进去，并从这个角度真正振兴该行业。我认为 Opal 在这个领域中独特之处在于我们不是，我们是，

故意不抽象。这是我在上一份工作中学习到的东西。你可以构建世界上最好的策略语言，但最终，如果人们不使用它，那么你就没有构建正确的系统。我认为，如果我们构建正确的系统来让人们从安全的角度考虑授权和访问，它自然会改变一些文化态度。我们在客户部署时衡量这些事情。我们看到

有多少人在使用零信任模型？有多少人实际上使用了多因素身份验证？有多少人实际上从使用这些策略中受益？五年后，你知道，我喜欢这个的原因之一，你和我曾经开玩笑说，如果我不做这个，我可能会再做一次。这就像这种形式的一个笑话。

我只是认为这是一个非常棒的市场，在安全领域，它总是一场入口游戏，然后是市场淘汰赛。对吧。我认为，如果你以这种务实的方式解决了 IAM 层，哦，我们有上下文，我们有可见性，我们有编排补救方法，这使你有能力，

朝几个方向发展。你有能力影响授权模式标准可能是什么样子，因为你实际上已经构建了数据库。你可以在 OSP 或 NIST 层次上定义漏洞是什么样的。你甚至可以帮助设定身份硬件的方向。如果你控制了堆栈的这一层，

而且，你知道，你有一个不可思议的机会来真正建立一家在身份安全领域具有标志性的公司。但是，为了达到这个目标，你必须务实地对待你今天与客户见面的地方，而不要过于僵化，以及解决方案的架构方式。是的。我的意思是，这是让我对你们在 Opal 上所构建的东西印象深刻的众多事情之一。这总是最突出的一点，那就是我觉得我不想把它说坏，但你们似乎找到了这种平衡。

对这个类别应该如何融合并与出色的 UI/UX 无缝协同工作的非常清晰的观点

人工智能和强大的开发者，安全性和实力，但你们进入市场的方式非常务实。以一种你可以解决今天具体问题的方式，你可以与其他工具并存，并使这些工具更好，并逐步引导客户走向现代身份安全。我认为这对于公司建设来说是一个很好的模板。你在这个领域中应用这种方法似乎在市场上引起了很大的共鸣。

我很感激。我的意思是，我会说有一些艰难的教训。而且，你知道，我们谈论了很多务实主义。但我的意思是，我有时像个数学家一样思考，你只能构建这么多的系统，你意识到它们不起作用，你必须意识到你必须务实，人们在哪里。

完全正确。完全正确。好吧，米玛，这很有趣。我很高兴我们能够邀请你参加 Gray Matter，让我们的听众能够更多地了解 Opal 的故事。我很高兴 Opal 的未来发展。你们在短短几年内取得的成就令人惊叹，最好的还在后面。太棒了。非常感谢你的邀请。