本文围绕“安全加固，AI Agent 时代的身份认证”展开，从 Passkey 的爆发式增长讲起，分析密码体系的演进趋势，并深入探讨 AI Agent 崛起对 IAM、零信任架构、OAuth 2.1、DPoP、DID 以及下一代 IDaaS 的冲击。文章提出，未来身份系统将从“凭证验证”进化为“意图 + 上下文验证”，AI 代理身份（Agent Identity）将成为新核心主体。

本文深入解读 npm 近期发布的重大安全更新，重点分析“经典令牌（Classic Token）全面停用”背后的安全动因，以及细粒度访问令牌（Granular Access Token）、可信发布（Trusted Publishing/OIDC）、双因素身份验证升级等举措对生态安全的深远影响。文章不仅总结了官方更新内容，还从供应链攻击、令牌生命周期风险、CI/CD 安全治理等角度进行深度思考，帮助开发者理解此次更新的重要性，并提供迁移策略与最佳实践，确保在 2025 年 12 月 9 日经典令牌彻底撤销前顺利完成过渡…