𝗔𝟮𝗔 𝗣𝗿𝗼𝘁𝗼𝗰𝗼𝗹 𝗔𝘂𝘁𝗵: 𝗞𝘄𝗮 𝗡𝗶𝘆𝗶 𝗠𝗮𝗲𝗹𝗲𝘇𝗼 𝘆𝗮 𝗞𝗶𝘂𝘁𝗲𝗸𝗻𝗶𝗸𝗶 𝘆𝗮𝗺𝗲𝗽ungua 𝗻𝗮 𝗪𝗮𝗽𝗶 𝗸𝘂𝗻𝗮 𝗠𝗮𝗽𝘂𝗻𝗴𝘂𝗳𝘂

Itifaki ya A2A (Agent2Agent) inakuwa kiwango cha mawasiliano ya wakala wa AI (AI agent). Google ilitangaza itifaki hii mwaka 2025 na sasa inasimamiwa na Linux Foundation.

Nilipoiangalia sehemu ya uthibitishaji (authentication) kwenye maelezo ya kiufundi (spec), sikupata kitu cha kutosha. Haifafanui utaratibu mpya wa uthibitishaji. Inakuambia tu utumie viwango vilivyopo kama OAuth2, OpenID Connect, au mTLS.

Upungufu huu wa maelezo ni wa makusudi. A2A inafafanua muundo (frame) lakini inawakilisha maudhui kwa viwango vingine. Hii inatengeneza mapungufu ya kiusalama ikiwa hutaweka tahadhari.

𝗛𝗼𝘄 𝗔𝟮𝗔 𝗜𝗻𝗮𝗳𝗮𝗻𝗮𝗻𝗮 A2A ni itifaki inayomruhusu wakala mmoja kumpatia wakala mwingine kazi. Inatumia JSON-RPC kupitia HTTP.

• Wakala Mteja (Client Agent): Wakala anayetuma ombi. • Wakala wa Mbali (Remote Agent): Wakala anayepokea kazi. • Kadi ya Wakala (Agent Card): Faili la JSON ambapo Wakala wa Mbali anaorodhesha uwezo wake na mahitaji ya uthibitishaji.

Kadi ya Wakala (Agent Card) ndiyo sehemu muhimu zaidi. Mteja husoma kadi hii kwanza ili kujifunza jinsi ya kuthibitishwa kabla ya kutuma ombi.

𝗠𝗮𝗽𝘂𝗻𝗴𝘂𝗳𝘂 𝘆𝗮 𝗞𝗶𝘂𝘀𝗮𝗹𝗮𝗺𝗮 A2A inaacha kazi kadhaa muhimu kwa mtendaji (implementer). Ikiwa hutaushughulikia haya, mawakala wako watakuwa hatarini.

  • Uharibifu wa Kadi (Card Tampering): Kutia saini Kadi ya Wakala ni hiari (MAY). Ikiwa huitii, mshambuliaji anaweza kuelekeza wakala wako kwenye seva yenye madhara.
  • Mashambulizi ya Kurudia (Replay Attacks): A2A haina njia ya kuunganisha tokeni na mteja mahususi. Ikiwa mtu ataiba bearer token, anaweza kujifanya ni wakala wako.
  • Ongezeko la Mamlaka (Privilege Escalation): Uidhinishaji (Authorization) unaachwa kwa miundombinu ya nje. Ikiwa hutasimamia ukaguzi wa kila ujuzi (per-skill checks), wakala wa "kusoma tu" (read-only) anaweza kupata ufikiaji wa "kuandika" (write).
  • Mfuatano wa Utambulisho (Identity Chaining): A2A haishughuliki jinsi utambulisho wa mtumiaji unavyopita katika mfuatano wa mawakala.

𝗛𝗼𝘄 𝘁𝗼 𝗕𝘂𝗶𝗹𝗱 𝗜𝘁 𝗦𝗮𝗳𝗲𝗹𝘆 Usitegemee maelezo ya kiufundi pekee. Lazima ugeuze sheria za hiari kuwa sheria za lazima.

• Kila wakati tia saini Kadi zako za Wakala. Tumia JWS na JCS. • Tumia mTLS kwa njia za wakala-kwa-wakala. Hii inazuia wizi wa tokeni usiwe wa kutosha kuhatarisha mfumo wako. • Simamia uidhinishaji wa kila ujuzi (per-skill authorization) kwenye API Gateway yako. • Tumia tokeni zilizofungwa kwa mtumaji (kama DPoP) ili kuzuia mashambulizi ya kurudia (replay attacks).

A2A ni kama mabomba. Usalama unatokana na maji unayopitisha ndani yake. Tumia viwango vilivyothibitishwa kama SPIFFE au Identity Chaining ili kuziba mapungufu hayo.

Chanzo: https://dev.to/kanywst/a2a-protocol-auth-taken-apart-why-the-spec-is-thin-and-where-that-leaves-holes-22ii

Jumuiya ya kujifunza ya hiari: https://t.me/GyaanSetuAi