AgentAuth లోతైన విశ్లేషణ: Self-Authenticating UUIDలను అర్థం చేసుకోవడం
ఒక AI ఏజెంట్కు లాగిన్ స్క్రీన్ను చూపించడం వల్ల ఎటువంటి ప్రయోజనం లేదు.
ఏజెంట్లు బ్రౌజర్ల ముందు కూర్చోరు. అవి తెల్లవారుజామున 3 గంటలకే టూల్ కాల్స్ (tool calls) చేస్తాయి. అవి సమాంతరంగా (in parallel) నడుస్తాయి. OAuth లేదా session cookies వంటి సాంప్రదాయ పద్ధతులు విఫలమవుతాయి, ఎందుకంటే అవి సమ్మతి బటన్లను (consent buttons) క్లిక్ చేయడానికి ఒక మనిషి అక్కడ ఉంటారని భావిస్తాయి.
AgentAuth దీనిని ఒకే ఒక దానితో పరిష్కరిస్తుంది: అదే UUID.
ఇది సెషన్లను లేదా అదనపు ఇన్ఫ్రాస్ట్రక్చర్ను ఉపయోగించదు. ఇది ఐడెంటిటీ మరియు అథెంటికేషన్ను ఒకే విలువగా మార్చడానికి public-key cryptographyని ఉపయోగిస్తుంది.
ఇది ఎలా పనిచేస్తుందో ఇక్కడ చూడండి:
• The Token: ఒక ప్రైవేట్ కీ (secp256k1). ఇది మీ మెషీన్లో రహస్యంగా ఉంటుంది. • The Address: టోకెన్ నుండి తీసుకోబడిన ఒక పబ్లిక్ విలువ. • The ID: అడ్రస్ నుండి రూపొందించబడిన ఒక స్థిరమైన (stable) UUID.
ఈ ప్రవాహం (flow) ఒకే దిశలో సాగుతుంది. మీరు Token నుండి IDకి వెళ్లగలరు, కానీ ID నుండి తిరిగి Tokenకి వెళ్లలేరు. ఇది IDని ఒక స్థిరమైన ఐడెంటిటీగా మారుస్తుంది.
ఇది వేరొకరిలా నటించడాన్ని (impersonation) ఎలా నిరోధిస్తుంది?
ID పబ్లిక్ అయినప్పటికీ, దాడి చేసే వ్యక్తి (attacker) దానిని ఉపయోగించలేడు. ప్రతి రిక్వెస్ట్తో పాటు ఒక డిజిటల్ సంతకం (digital signature) ఉంటుంది.
- క్లయింట్ ప్రైవేట్ Tokenతో రిక్వెస్ట్ పేలోడ్ను సంతకం చేస్తుంది.
- సర్వర్ ఆ సంతకాన్ని మరియు క్లెయిమ్ చేయబడిన Addressను అందుకుంటుంది.
- సర్వర్ ఆ సంతకాన్ని ఉపయోగించి Addressను తిరిగి పొందుతుంది (recover).
- తిరిగి పొందిన Address, క్లెయిమ్ చేయబడిన Addressతో సరిపోలితే, ఆ రిక్వెస్ట్ చెల్లుబాటు అవుతుంది.
ఈ ప్రక్రియ stateless. వినియోగదారుని ధృవీకరించడానికి సర్వర్కు యాక్టివ్ సెషన్ల డేటాబేస్ అవసరం లేదు. దానికి కేవలం గణితం (math) మాత్రమే సరిపోతుంది.
replay attacks ని నిరోధించడానికి, AgentAuth 60-సెకన్ల టైమ్స్టాంప్ విండోను ఉపయోగిస్తుంది. ఒకవేళ దాడి చేసే వ్యక్తి సంతకం చేసిన రిక్వెస్ట్ను దొంగిలిస్తే, ఆ సంతకం చెల్లనిదిగా మారకముందు వారు దానిని ఉపయోగించడానికి కేవలం ఒక నిమిషం మాత్రమే సమయం ఉంటుంది.
ముఖ్యమైన తేడా: AgentAuth అనేది Authentication (మీరు ఎవరు?) కోసం. ఇది Authorization (మీకు ఏమి చేయడానికి అనుమతి ఉంది?) కోసం కాదు.
దీనిని అధికారిక MCP OAuth 2.1 స్పెక్తో కన్ఫ్యూజ్ అవ్వకండి.
- మీరు రెండు వైపులా నియంత్రణ కలిగి ఉన్నప్పుడు మరియు వినియోగ ట్రాకింగ్ లేదా టైర్ గేటింగ్ కోసం స్థిరమైన IDలను కోరుకున్నప్పుడు AgentAuthని ఉపయోగించండి.
- ఒక మనిషి తరపున థర్డ్-పార్టీ APIలకు అనుమతులను (permissions) బదిలీ చేయాల్సి వచ్చినప్పుడు MCP OAuth 2.1ని ఉపయోగించండి.
ఈ రెండూ కలిసి పనిచేయగలవు. ఏజెంట్ను గుర్తించడానికి AgentAuthని మరియు బాహ్య డేటాకు దాని యాక్సెస్ను నిర్వహించడానికి OAuthని ఉపయోగించండి.
AgentAuth ఒక్క లాగిన్ స్క్రీన్ అవసరం లేకుండానే ప్రైవేట్ కీని ధృవీకరించదగిన, స్థిరమైన ఐడెంటిటీగా మారుస్తుంది.
ఐచ్ఛిక అభ్యాస సమూహం: https://t.me/GyaanSetuAi
