AgentAuth ಆಳವಾದ ವಿಶ್ಲೇಷಣೆ: ಸ್ವಯಂ-ಅಧಿಕೃತ (Self-Authenticating) UUIDಗಳನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವುದು
AI ಏಜೆಂಟ್ಗೆ ಲಾಗಿನ್ ಸ್ಕ್ರೀನ್ ತೋರಿಸುವುದು ಅರ್ಥಹೀನ.
ಏಜೆಂಟ್ಗಳು ಬ್ರೌಸರ್ ಮುಂದೆ ಕುಳಿತುಕೊಳ್ಳುವುದಿಲ್ಲ. ಅವು ಬೆಳಗಿನ 3 ಗಂಟೆಗೂ ಟೂಲ್ ಕರೆಗಳನ್ನು (tool calls) ಮಾಡಬಹುದು. ಅವು ಏಕಕಾಲದಲ್ಲಿ (parallel) ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತವೆ. OAuth ಅಥವಾ ಸೆಷನ್ ಕುಕೀಗಳಂತಹ ಸಾಂಪ್ರದಾಯಿಕ ವಿಧಾನಗಳು ವಿಫಲವಾಗುತ್ತವೆ, ಏಕೆಂದರೆ ಅವು ಒಪ್ಪಿಗೆಯ ಬಟನ್ಗಳನ್ನು ಕ್ಲಿಕ್ ಮಾಡಲು ಮನುಷ್ಯರು ಇರುತ್ತಾರೆ ಎಂದು ಭಾವಿಸುತ್ತವೆ.
AgentAuth ಇದನ್ನು ಒಂದು ವಿಷಯದ ಮೂಲಕ ಪರಿಹರಿಸುತ್ತದೆ: ಅದುವೇ UUID.
ಇದು ಸೆಷನ್ಗಳು ಅಥವಾ ಹೆಚ್ಚುವರಿ ಮೂಲಸೌಕರ್ಯಗಳನ್ನು ಬಳಸುವುದಿಲ್ಲ. ಇದು ಗುರುತು (identity) ಮತ್ತು ದೃಢೀಕರಣವನ್ನು (authentication) ಒಂದೇ ಮೌಲ್ಯದಲ್ಲಿ ವಿಲೀನಗೊಳಿಸಲು ಪಬ್ಲಿಕ್-ಕೀ ಕ್ರಿಪ್ಟೋಗ್ರಫಿಯನ್ನು ಬಳಸುತ್ತದೆ.
ಇದು ಹೇಗೆ ಕೆಲಸ ಮಾಡುತ್ತದೆ ಎಂಬುದು ಇಲ್ಲಿದೆ:
• ಟೋಕನ್ (The Token): ಒಂದು ಪ್ರೈವೇಟ್ ಕೀ (secp256k1). ಇದು ನಿಮ್ಮ ಯಂತ್ರದಲ್ಲಿ ರಹಸ್ಯವಾಗಿ ಉಳಿಯುತ್ತದೆ. • ವಿಳಾಸ (The Address): ಟೋಕನ್ನಿಂದ ಪಡೆದ ಪಬ್ಲಿಕ್ ಮೌಲ್ಯ. • ಐಡಿ (The ID): ವಿಳಾಸದಿಂದ ನಿರ್ಮಿಸಲಾದ ಸ್ಥಿರವಾದ UUID.
ಈ ಪ್ರಕ್ರಿಯೆಯು ಒಂದು ದಿಕ್ಕಿನಲ್ಲಿ ಚಲಿಸುತ್ತದೆ. ನೀವು ಟೋಕನ್ನಿಂದ ಐಡಿಗೆ ಹೋಗಬಹುದು, ಆದರೆ ಐಡಿಯಿಂದ ಮತ್ತೆ ಟೋಕನ್ಗೆ ಹೋಗಲು ಸಾಧ್ಯವಿಲ್ಲ. ಇದು ಐಡಿಯನ್ನು ಒಂದು ಸ್ಥಿರ ಗುರುತನ್ನಾಗಿ ಮಾಡುತ್ತದೆ.
ಇದು ಬೇರೆಯವರಂತೆ ನಟಿಸುವುದನ್ನು (impersonation) ಹೇಗೆ ತಡೆಯುತ್ತದೆ?
ಐಡಿ ಪಬ್ಲಿಕ್ ಆಗಿದ್ದರೂ ಸಹ, ದಾಳಿಗಾರರು (attacker) ಅದನ್ನು ಬಳಸಲು ಸಾಧ್ಯವಿಲ್ಲ. ಪ್ರತಿಯೊಂದು ವಿನಂತಿಯು (request) ಡಿಜಿಟಲ್ ಸಹಿಯನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ.
- ಕ್ಲೈಂಟ್ ಪ್ರೈವೇಟ್ ಟೋಕನ್ ಬಳಸಿ ರಿಕ್ವೆಸ್ಟ್ ಪೇಲೋಡ್ ಅನ್ನು ಸಹಿ ಮಾಡುತ್ತದೆ.
- ಸರ್ವರ್ ಸಹಿ ಮತ್ತು ವಾದಿಸಲಾದ ವಿಳಾಸವನ್ನು (claimed Address) ಸ್ವೀಕರಿಸುತ್ತದೆ.
- ಸರ್ವರ್ ವಿಳಾಸವನ್ನು ಮರುಪಡೆಯಲು ಸಹಿಯನ್ನು ಬಳಸುತ್ತದೆ.
- ಮರುಪಡೆಯಲಾದ ವಿಳಾಸವು ವಾದಿಸಲಾದ ವಿಳಾಸಕ್ಕೆ ಹೊಂದಿಕೆಯಾದರೆ, ವಿನಂತಿಯು ಮಾನ್ಯವಾಗಿರುತ್ತದೆ.
ಈ ಪ್ರಕ್ರಿಯೆಯು ಸ್ಟೇಟ್ಲೆಸ್ (stateless). ಬಳಕೆದಾರರನ್ನು ದೃಢೀಕರಿಸಲು ಸರ್ವರ್ಗೆ ಸಕ್ರಿಯ ಸೆಷನ್ಗಳ ಡೇಟಾಬೇಸ್ ಅಗತ್ಯವಿಲ್ಲ. ಅದಕ್ಕೆ ಕೇವಲ ಗಣಿತದ (math) ಅಗತ್ಯವಿದೆ.
ರಿಪ್ಲೇ ಅಟ್ಯಾಕ್ಗಳನ್ನು (replay attacks) ತಡೆಯಲು, AgentAuth 60 ಸೆಕೆಂಡ್ಗಳ ಟೈಮ್ಸ್ಟ್ಯಾಂಪ್ ವಿಂಡೋವನ್ನು ಬಳಸುತ್ತದೆ. ದಾಳಿಗಾರರು ಸಹಿ ಮಾಡಿದ ವಿನಂತಿಯನ್ನು ಕದಿಯುವಲ್ಲಿ ಯಶಸ್ವಿಯಾದರೆ, ಸಹಿಯು ಅಮಾನ್ಯವಾಗುವ ಮೊದಲು ಅದನ್ನು ಬಳಸಲು ಅವರಿಗೆ ಕೇವಲ ಒಂದು ನಿಮಿಷ ಮಾತ್ರ ಇರುತ್ತದೆ.
ಪ್ರಮುಖ ವ್ಯತ್ಯಾಸ: AgentAuth ದೃಢೀಕರಣಕ್ಕಾಗಿ (Authentication - ನೀವು ಯಾರು?) ಆಗಿದೆ. ಇದು ಅಧಿಕಾರಕ್ಕಾಗಿ (Authorization - ನಿಮಗೆ ಏನು ಮಾಡಲು ಅನುಮತಿ ಇದೆ?) ಅಲ್ಲ.
ಇದನ್ನು ಅಧಿಕೃತ MCP OAuth 2.1 ಸ್ಪೆಕ್ (spec) ಜೊತೆಗೆ ಗೊಂದಲ ಮಾಡಿಕೊಳ್ಳಬೇಡಿ.
- ನೀವು ಎರಡೂ ಕಡೆಗಳನ್ನು ನಿಯಂತ್ರಿಸುತ್ತಿದ್ದಾಗ ಮತ್ತು ಬಳಕೆ ಟ್ರ್ಯಾಕಿಂಗ್ ಅಥವಾ ಟಿಯರ್ ಗೇಟಿಂಗ್ಗಾಗಿ ಸ್ಥಿರವಾದ ಐಡಿಗಳನ್ನು ಬಯಸಿದಾಗ AgentAuth ಬಳಸಿ.
- ಮನುಷ್ಯನ ಪರವಾಗಿ ಮೂರನೇ ವ್ಯಕ್ತಿಯ (third-party) APIಗಳಿಗೆ ಅನುಮತಿಗಳನ್ನು ನಿಯೋಜಿಸಬೇಕಾದಾಗ MCP OAuth 2.1 ಬಳಸಿ.
ಇವೆರಡೂ ಒಟ್ಟಿಗೆ ಕೆಲಸ ಮಾಡಬಹುದು. ಏಜೆಂಟ್ ಅನ್ನು ಗುರುತಿಸಲು AgentAuth ಬಳಸಿ ಮತ್ತು ಬಾಹ್ಯ ಡೇಟಾವನ್ನು ಪ್ರವೇಶಿಸಲು OAuth ಬಳಸಿ.
AgentAuth ಯಾವುದೇ ಲಾಗಿನ್ ಸ್ಕ್ರೀನ್ ಅಗತ್ಯವಿಲ್ಲದೆ ಪ್ರೈವೇಟ್ ಕೀಯನ್ನು ಪರಿಶೀಲಿಸಬಹುದಾದ, ಸ್ಥಿರವಾದ ಗುರುತನ್ನಾಗಿ ಪರಿವರ್ತಿಸುತ್ತದೆ.
Optional learning community: https://t.me/GyaanSetuAi
