تعمق في AgentAuth: فهم الـ UUIDs ذاتية المصادقة

عرض شاشة تسجيل دخول على وكيل ذكاء اصطناعي (AI agent) لا معنى له.

الوكلاء لا يجلسون أمام المتصفحات. إنهم يطلقون استدعاءات الأدوات (tool calls) في الثالثة صباحاً. يعملون بالتوازي. تفشل الطرق التقليدية مثل OAuth أو ملفات تعريف الارتباط للجلسات (session cookies) لأنها تفترض وجود إنسان للنقر على أزرار الموافقة.

يحل AgentAuth هذه المشكلة باستخدام شيء واحد: UUID.

لا يستخدم الجلسات أو بنية تحتية إضافية. بل يستخدم التشفير بالمفتاح العام لدمج الهوية والمصادقة في قيمة واحدة.

إليك كيفية عمل ذلك:

• الرمز (The Token): مفتاح خاص (secp256k1). يظل سرياً على جهازك. • العنوان (The Address): قيمة عامة مشتقة من الرمز. • المعرف (The ID): UUID مستقر مبني من العنوان.

يتحرك التدفق في اتجاه واحد. يمكنك الانتقال من الرمز إلى المعرف، ولكن لا يمكنك الانتقال من المعرف للعودة إلى الرمز. وهذا يجعل المعرف هوية مستقرة.

كيف يمنع انتحال الشخصية؟

على الرغم من أن المعرف عام، إلا أن المهاجم لا يمكنه استخدامه. يتضمن كل طلب توقيعاً رقمياً.

  1. يقوم العميل بتوقيع حمولة الطلب (request payload) باستخدام الرمز الخاص.
  2. يستلم الخادم التوقيع والعنوان المدعى (claimed Address).
  3. يستخدم الخادم التوقيع لاستعادة العنوان.
  4. إذا تطابق العنوان المستعاد مع العنوان المدعى، يكون الطلب صالحاً.

هذه العملية عديمة الحالة (stateless). لا يحتاج الخادم إلى قاعدة بيانات للجلسات النشطة للتحقق من المستخدم. يحتاج فقط إلى العمليات الرياضية.

لمنع هجمات إعادة التشغيل (replay attacks)، يستخدم AgentAuth نافذة زمنية (timestamp window) مدتها 60 ثانية. إذا سرق مهاجم طلباً موقعاً، فلديه دقيقة واحدة فقط لاستخدامه قبل أن يصبح التوقيع غير صالح.

تمييز هام: AgentAuth مخصص للمصادقة (Authentication) - (من أنت؟). وليس للتفويض (Authorization) - (ما الذي يُسمح لك بفعله؟).

لا تخلط بين هذا وبين مواصفات MCP OAuth 2.1 الرسمية.

  • استخدم AgentAuth عندما تتحكم في الطرفين وتريد معرفات مستقرة لتتبع الاستخدام أو تحديد المستويات (tier gating).
  • استخدم MCP OAuth 2.1 عندما تحتاج إلى تفويض الأذونات لواجهات برمجة تطبيقات (APIs) تابعة لجهات خارجية نيابة عن إنسان.

يمكن للاثنين العمل معاً. استخدم AgentAuth لتحديد هوية الوكيل، واستخدم OAuth لإدارة وصوله إلى البيانات الخارجية.

يحول AgentAuth المفتاح الخاص إلى هوية مستقرة وقابلة للتحقق دون الحاجة إلى شاشة تسجيل دخول واحدة.

المصدر: https://dev.to/kanywst/agentauth-deep-dive-reading-the-self-authenticating-uuid-for-ai-agents-from-the-source-44eh

مجتمع تعلم اختياري: https://t.me/GyaanSetuAi