Vanta 創辦人 Christina Cacioppo 在 Stripe Cheeky Pint 裡談的,不只是 SOC 2 怎麼做。她真正拆開的是:安全需求什麼時候變成預算、AI 會吃掉哪一段合規勞動,以及為什麼只看 TAM 會錯過新市場。
Christina 對 Vanta 的起點描述很直接:如果你想替新創做安全公司,第一個產品最好不是「安全」,而是「合規」。因為客戶通常不會主動要求你更安全,卻會在企業採購、資安審查或大客戶成交前,要求你拿出 SOC 2、ISO 或 security questionnaire。
這就是她說的 vitamin vs painkiller。安全像維他命,大家知道有益;合規像止痛藥,客戶這一季就要、合約卡在那裡,創辦人只能立刻處理。
因此 Vanta 的故事不是「把無聊的合規包裝成 SaaS」。更準確地說,它找到企業信任進入採購流程的那一刻,然後把那一刻之前的混亂工作,變成可執行、可監控、可重複的系統。
John 在訪談裡提醒,合規不是你可以買的東西,而是你必須做的事。Vanta 早期產品的關鍵,是把高階、抽象的控制要求,拆成像工程師熟悉的 unit tests:GitHub 權限是不是正確?PR 有沒有 code review?事件記錄有沒有被查看?證據能不能被 auditor 接受?
00:08:30 Christina 說,Vanta 第一個產品叫 Test,概念就是 modeled after unit tests。這個比喻很重要:合規不是報告最後長得漂亮,而是每一次檢查都能回到可驗證的工作。
這集訪談最值得保留的張力,是 Christina 沒把合規講成萬能。SOC 2 的政策目標大致是保護客戶資料;但她也承認,大公司通常都有 SOC 2,仍然可能發生資料外洩。合規有時候會滑向 box-checking,並不自動等於安全。
因此這頁不能把 Vanta 說成「讓公司不會被駭」。比較精確的說法是:它把原本散在文件、系統、截圖、工單與人的記憶裡的信任證據,變成更可追蹤的工作系統。
Christina 對 AI 的判斷不是「丟給 Claude 產生 SOC 2 資料夾就好」。她承認 LLM 很適合整理混亂資料,但 Vanta 的差異在於:整理之後,證據要被監控、被警示、被 auditor 回饋,也要能長期保持同步。
這裡的重點不是人類會消失,而是工作重心會移動。今天很多 GRC 勞動是追人補件、整理證據、把新標準映射到舊 controls、讓文件與現實同步。AI 先吃掉的是這些摩擦,而人保留的是風險判斷與策略。
訪談後段,Christina 提到她從 USV 學到的創業觀:ideas first,而且不要太 TAM-brained。她甚至說:market sizing is bullshit。這句話不是叫人完全不看市場,而是提醒你,今天的市場大小只是在描述今天的成本、摩擦與需求形狀。
這也把前面幾段串起來:合規之所以能成為公司,是因為它不是單一文件服務,而是企業信任成本下降後冒出的新需求。
今天的市場大小,只能預測今天的市場;真正的創業機會,是把原本沒人願意做的事,變成人人都能做。
這不是否定市場分析,而是提醒你:TAM 有時候量到的是摩擦,不是潛在需求。
選完之後,分享你對「合規、AI 與市場大小」的判斷
這頁整理自 Stripe 的 Cheeky Pint 系列〈Compliance at scale and why TAM is a distraction with Christina Cacioppo of Vanta〉。原始節目保留了 John Collison 與 Christina 對 Vanta、SOC 2、AI agents、企業信任與創業判斷的完整對話。
收聽 / 閱讀原始節目 →喜歡這種整理嗎?
從 AI 代理人、穩定幣到企業軟體,用台灣讀者看得懂的語言,把複雜的產業變局說清楚。
免費訂閱區塊勢 →也可以直接付費支持,解鎖每週完整文章