Penerokaan Mendalam AgentAuth: Memahami UUID yang Mengesahkan Diri Sendiri
Menunjukkan skrin log masuk kepada ejen AI tidak masuk akal.
Ejen tidak duduk di hadapan pelayar web. Mereka melakukan panggilan alat pada jam 3 pagi. Mereka berjalan secara selari. Kaedah tradisional seperti OAuth atau kuki sesi gagal kerana ia mengandaikan kehadiran manusia untuk menekan butang persetujuan.
AgentAuth menyelesaikan masalah ini menggunakan satu perkara: UUID.
Ia tidak menggunakan sesi atau infrastruktur tambahan. Ia menggunakan kriptografi kunci awam untuk menggabungkan identiti dan pengesahan ke dalam satu nilai tunggal.
Berikut adalah cara ia berfungsi:
• Token: Kunci peribadi (secp256k1). Ini kekal rahsia pada mesin anda. • Alamat: Nilai awam yang diterbitkan daripada token. • ID: UUID stabil yang dibina daripada alamat.
Aliran ini bergerak satu hala. Anda boleh pergi daripada Token ke ID, tetapi anda tidak boleh kembali daripada ID ke Token. Ini menjadikan ID sebagai identiti yang stabil.
Bagaimanakah ia menghalang penyamaran?
Walaupun ID adalah awam, penyerang tidak boleh menggunakannya. Setiap permintaan menyertakan tandatangan digital.
- Klien menandatangani muatan (payload) permintaan dengan Token peribadi.
- Pelayan menerima tandatangan dan Alamat yang dituntut.
- Pelayan menggunakan tandatangan untuk mendapatkan semula Alamat.
- Jika Alamat yang diperoleh semula sepadan dengan Alamat yang dituntut, permintaan tersebut adalah sah.
Proses ini adalah tanpa keadaan (stateless). Pelayan tidak memerlukan pangkalan data sesi aktif untuk mengesahkan pengguna. Ia hanya memerlukan pengiraan matematik.
Untuk menghalang serangan ulangan (replay attacks), AgentAuth menggunakan tetingkap cap masa 60 saat. Jika penyerang mencuri permintaan bertandatangan, mereka hanya mempunyai satu minit untuk menggunakannya sebelum tandatangan tersebut menjadi tidak sah.
Perbezaan penting: AgentAuth adalah untuk Pengesahan (Authentication - siapakah anda?). Ia bukan untuk Keizinan (Authorization - apa yang anda dibenarkan lakukan?).
Jangan keliru ini dengan spesifikasi rasmi MCP OAuth 2.1.
- Gunakan AgentAuth apabila anda mengawal kedua-dua hujung dan mahukan ID yang stabil untuk penjejakan penggunaan atau kawalan tahap (tier gating).
- Gunakan MCP OAuth 2.1 apabila anda perlu menyerahkan keizinan kepada API pihak ketiga bagi pihak manusia.
Kedua-duanya boleh berfungsi bersama. Gunakan AgentAuth untuk mengenal pasti ejen dan OAuth untuk menguruskan aksesnya kepada data luaran.
AgentAuth menukarkan kunci peribadi kepada identiti yang boleh disahkan dan stabil tanpa memerlukan satu skrin log masuk pun.
Komuniti pembelajaran pilihan: https://t.me/GyaanSetuAi
