AgentAuth ஆழமான ஆய்வு: சுய-அங்கீகார UUID-களைப் புரிந்துகொள்ளுதல்

ஒரு AI ஏஜென்ட்டிற்கு (agent) லாகின் திரையைக் காட்டுவது அர்த்தமற்றது.

ஏஜென்ட்கள் உலாவிகளுக்கு (browsers) முன்னால் அமர்ந்திருப்பதில்லை. அவை அதிகாலை 3 மணிக்கு டூல் கால்களை (tool calls) இயக்கும். அவை இணையாக (parallel) இயங்கும். OAuth அல்லது session cookies போன்ற பாரம்பரிய முறைகள் தோல்வியடைகின்றன, ஏனெனில் அவை சம்மத பொத்தான்களை (consent buttons) கிளிக் செய்ய ஒரு மனிதன் இருப்பார் என்று கருதுகின்றன.

AgentAuth இதை ஒரே ஒரு விஷயத்தைப் பயன்படுத்தித் தீர்க்கிறது: அதுதான் ஒரு UUID.

இது session-களையோ அல்லது கூடுதல் உள்கட்டமைப்பையோ (infrastructure) பயன்படுத்துவதில்லை. இது அடையாளம் (identity) மற்றும் அங்கீகாரம் (authentication) ஆகிய இரண்டையும் ஒரே மதிப்பாக மாற்ற public-key cryptography-யைப் பயன்படுத்துகிறது.

இது எவ்வாறு செயல்படுகிறது:

• தி டோக்கன் (The Token): ஒரு தனிப்பட்ட சாவி (private key - secp256k1). இது உங்கள் கணினியில் ரகசியமாக இருக்கும். • தி அட்ரஸ் (The Address): டோக்கனிலிருந்து பெறப்பட்ட ஒரு பொதுவான மதிப்பு (public value). • தி ஐடி (The ID): அட்ரஸிலிருந்து உருவாக்கப்பட்ட ஒரு நிலையான UUID.

இந்த ஓட்டம் (flow) ஒரு திசையில் மட்டுமே செல்லும். நீங்கள் Token-லிருந்து ID-க்குச் செல்லலாம், ஆனால் ID-லிருந்து மீண்டும் Token-க்குச் செல்ல முடியாது. இது ID-யை ஒரு நிலையான அடையாளமாக (stable identity) மாற்றுகிறது.

இது போலியாகத் தோன்றுவதைத் (impersonation) தடுப்பது எப்படி?

ID பொதுவானதாக இருந்தாலும், ஒரு தாக்குதல் நடத்துபவரால் (attacker) அதை பயன்படுத்த முடியாது. ஒவ்வொரு கோரிக்கையிலும் (request) ஒரு டிஜிட்டல் கையொப்பம் (digital signature) இருக்கும்.

  1. கிளையண்ட் (client) தனது தனிப்பட்ட Token மூலம் கோரிக்கைத் தரவை (request payload) கையொப்பமிடுகிறது.
  2. சர்வர் கையொப்பத்தையும் கோரப்பட்ட அட்ரஸையும் (claimed Address) பெறுகிறது.
  3. சர்வர் அந்த கையொப்பத்தைப் பயன்படுத்தி அட்ரஸைக் கண்டறிகிறது.
  4. கண்டறியப்பட்ட அட்ரஸ் கோரப்பட்ட அட்ரஸுடன் பொருந்தினால், அந்தக் கோரிக்கை செல்லுபடியாகும்.

இந்த செயல்முறை stateless ஆனது. பயனரைச் சரிபார்க்க சர்வர் ஆக்டிவ் session-களின் தரவுத்தளம் (database) தேவையில்லை. அதற்கு கணிதம் (math) மட்டுமே போதுமானது.

replay attacks-களைத் தடுக்க, AgentAuth 60 வினாடி நேரக் கால அவகாசத்தை (timestamp window) பயன்படுத்துகிறது. ஒரு தாக்குதல் நடத்துபவர் கையொப்பமிடப்பட்ட கோரிக்கையைத் திருடினாலும், கையொப்பம் செல்லாதாகும் முன் ஒரு நிமிடம் மட்டுமே அதை பயன்படுத்த முடியும்.

முக்கியமான வேறுபாடு: AgentAuth என்பது அங்கீகாரத்திற்காக (Authentication - நீங்கள் யார்?) ஆகும். இது அனுமதிக்காக (Authorization - உங்களுக்கு என்ன செய்ய அனுமதி உள்ளது?) அல்ல.

இதை அதிகாரப்பூர்வ MCP OAuth 2.1 விதிகளுடன் (spec) குழப்பிக்கொள்ள வேண்டாம்.

  • நீங்கள் இரு முனைகளையும் (both ends) கட்டுப்படுத்துகிறீர்கள் மற்றும் பயன்பாட்டைக் கண்காணிக்க அல்லது அடுக்குக் கட்டுப்பாட்டிற்கு (tier gating) நிலையான ID-களை விரும்புகிறீர்கள் என்றால் AgentAuth-ஐப் பயன்படுத்தவும்.
  • ஒரு மனிதரின் சார்பாக மூன்றாம் தரப்பு API-களுக்கு அனுமதிகளை வழங்க வேண்டியிருக்கும் போது MCP OAuth 2.1-ஐப் பயன்படுத்தவும்.

இவை இரண்டும் இணைந்து செயல்பட முடியும். ஏஜென்ட்டை அடையாளம் காண AgentAuth-ஐயும், அதன் வெளிப்புறத் தரவு அணுகலை நிர்வகிக்க OAuth-ஐயும் பயன்படுத்தவும்.

AgentAuth ஒரு லாகின் திரை இல்லாமலேயே, ஒரு தனிப்பட்ட சாவியை (private key) சரிபார்க்கக்கூடிய, நிலையான அடையாளமாக மாற்றுகிறது.

ஆதாரம்: https://dev.to/kanywst/agentauth-deep-dive-reading-the-self-authenticating-uuid-for-ai-agents-from-the-source-44eh

விருப்பமான கற்றல் சமூகம்: https://t.me/GyaanSetuAi