1Password 這次沒在密碼管理上死磕,直接跳進企業預算的深水区,推出 AI Spend and Consumption Management。簡單說,就是讓 IT 和財務部門能即時盯緊 Anthropic、Cursor、OpenAI 這三家金主花了多少 token。我認為這不是什麼跨領域擴張的噱頭,而是企業正在經歷「預算結構性崩塌」的前兆。當開發者的 `Agent` 在背景自動跑流程,一個月燒掉幾萬美金連 CFO 都還沒察覺時,傳統按人頭收費的 SaaS 邏輯根本 hold 不住。這把刀,1Password 選在痛點最明顯的時候落下。

過去三年,1Password 從消費端帳號密碼管理工具,一路收購 `Trelica``Kolide`,強硬轉型成企業級的 `Identity Security` 與 SaaS 治理平台。這次把 token 消費數據直接拉進 `SaaS Manager`,邏輯很直白:既然你能管誰登入了哪個軟體,為什麼不能管這個人或機器人花掉了多少錢?CFO Greg Henry 把這件事類比成十年前雲端計量制(consumption-based pricing)的來臨,這比喻非常精準。當年 `AWS``Azure` 剛開放按量付費時,企業也是靠一疊 Excel 硬撐,直到 `FinOps` 生態系長出 CloudHealth、Spot.io 這些公司才慢慢止血。現在 token 帳單的混亂程度,比當年雲端還誇張。

贏家很明顯是那些被「`Agent` 迴圈」嚇到破產的企業。一個編程助手卡在 `retry loop` 裡,幾分鐘就能吞掉幾千美元,傳統報銷流程根本追不上。1Password 的優勢在於 `identity-first` 的血統,它能告訴你「誰」在「哪台設備」上、用「哪個模型」燒了錢,這比單純看總帳單有用得多。但輸家呢?那些還在用「每席位每年固定費用」思維看 AI 帳單的財務部門,以及還沒把 AI 消費納入正式採購流程的公司,接下來幾個月的預算報表會非常難看。

維度 傳統 SaaS 訂閱制 AI Token 計量制(1Password 切入點)
計費邏輯 按人頭、按年付費 按輸入/輸出 token 數、依模型差異計價
預測難度 低,預算固定且透明 高,`Agent` 自動執行難以預估
消費主體 人類使用者 人類與 AI Agent 混合驅動
痛點場景 閒置授權未回收 背景迴圈燒錢、跨部門預算黑洞
治理工具 採購流程、`SSO` 即時儀表板、`API` 級監控、動態閾值

不過,這裡有個容易被忽略的盲點:能看錢不代表能管錢。目前這功能只提供 通知與中繼儀表板,沒有自動切斷預算的機制。Henry 說「You can't enforce what you can't see」,話雖沒錯,但企業最缺的往往不是數據,而是「敢於在月中砍掉開發者 AI 權限」的政治勇氣。另外,將 `Cursor` 和 OpenAI、Anthropic 並列也很有意思。`Cursor` 這種內建於開發流程的 Ambient AI,消費模式是「無感且持續」的,這代表未來的 AI 帳單會像水電費一樣,不打開看不到數字,一打開就嚇死人。

高 token 消耗不等於浪費,低消耗也不代表沒價值。企業該做的不是一刀砍預算,而是搞清楚錢花在哪個模型上能換回營收。

說到底,1Password 這步棋是在賭「token 經濟」會成為企業軟體的基礎設施。如果 Henry 說的話成真,未來連 Adobe、Salesforce 這些傳統軟體都會改採按量計費。現在把儀表板建起來的公司,就是在為下一波雲端級別的帳單戰役預購門票。至於我們?與其擔心 AI 燒錢,不如先訓練團隊分辨「花錢做對的事」跟「亂錢做對的事」。

延伸思考與常見問題

  • Q1:什麼是 Token,為什麼它會變成企業預算的新痛點? 答:Token 是大型語言模型處理文字的最小計算單位,約莫等同於 0.75 個英文單字。企業使用 AI 時,每一次提問、生成或 `Agent` 自動執行都會消耗 Token,由於不同模型計價差異大且用量難以預測,傳統「按月固定費用」的預算邏輯容易失靈。

  • Q2:1Password 的 AI 消費管理跟專門做 FinOps 的工具(如 CloudHealth)有什麼本質差異? 答:`FinOps` 工具主要聚焦雲端基礎設施的 compute 與 storage 帳單優化,而 1Password 從 `Identity Security` 切入,強調將消費數據與具體的「使用者帳號」和「設備」綁定,能直接回答「誰在什麼時間點用哪個模型燒了錢」,對治理 Shadow IT 與 `Agent` 權限更直觀。

  • Q3:目前這功能只有通知沒有自動切斷,企業該如何避免開發者「繼續燒下去」? 答:目前仍需搭配內部治理規則,例如設定 `Slack`/Email 閾值警示後由財務或 IT 主管手動介入,或結合 `SSO` 權限在月中暫停高消費團隊的 API Key。Henry 提到自動強制執行(enforcement)正在評估中,但數據透明度確實是管理的第一步。