AgentAuth Derinlemesine İnceleme: Kendi Kendini Doğrulayan UUID'leri Anlamak

Bir yapay zeka ajanına giriş ekranı göstermek mantıksızdır.

Ajanlar tarayıcıların başında oturmazlar. Gece saat 3'te araç çağrıları (tool calls) yaparlar. Paralel olarak çalışırlar. OAuth veya oturum çerezleri (session cookies) gibi geleneksel yöntemler, onay butonlarına tıklayacak bir insanın orada olduğunu varsaydıkları için başarısız olur.

AgentAuth bunu tek bir şey kullanarak çözer: bir UUID.

Oturumlar veya ek altyapı kullanmaz. Kimlik ve kimlik doğrulamayı tek bir değerde birleştirmek için açık anahtar kriptografisini (public-key cryptography) kullanır.

İşte çalışma şekli:

• Token: Bir özel anahtar (secp256k1). Bu, makinenizde gizli kalır. • Adres: Token'dan türetilen bir açık değer. • ID: Adresten oluşturulan kararlı bir UUID.

Akış tek yönlüdür. Token'dan ID'ye gidebilirsiniz ancak ID'den Token'a geri dönemezsiniz. Bu, ID'yi kararlı bir kimlik haline getirir.

Taklit edilmeyi nasıl önler?

ID açık olsa bile, bir saldırgan bunu kullanamaz. Her istek bir dijital imza içerir.

  1. İstemci, istek içeriğini (payload) özel Token ile imzalar.
  2. Sunucu imzayı ve beyan edilen Adresi alır.
  3. Sunucu, Adresi geri elde etmek için imzayı kullanır.
  4. Geri elde edilen Adres, beyan edilen Adres ile eşleşirse istek geçerlidir.

Bu süreç durumsuzdur (stateless). Sunucunun kullanıcıyı doğrulamak için aktif oturumlara ait bir veritabanına ihtiyacı yoktur. Sadece matematiğe ihtiyacı vardır.

Tekrar saldırılarını (replay attacks) önlemek için AgentAuth, 60 saniyelik bir zaman damgası penceresi kullanır. Eğer bir saldırgan imzalı bir isteği çalarsa, imza geçersiz hale gelmeden önce onu kullanmak için sadece bir dakikası vardır.

Önemli ayrım: AgentAuth Kimlik Doğrulama (Authentication - kimsiniz?) içindir. Yetkilendirme (Authorization - ne yapmaya izniniz var?) için değildir.

Bunu resmi MCP OAuth 2.1 spesifikasyonu ile karıştırmayın.

  • Her iki ucu da kontrol ettiğinizde ve kullanım takibi veya kademe sınırlaması (tier gating) için kararlı ID'ler istediğinizde AgentAuth kullanın.
  • Bir insan adına üçüncü taraf API'lere yetki devretmeniz gerektiğinde MCP OAuth 2.1 kullanın.

İkisi birlikte çalışabilir. Ajanı tanımlamak için AgentAuth'u, harici verilere erişimini yönetmek için ise OAuth'u kullanın.

AgentAuth, tek bir giriş ekranına ihtiyaç duymadan bir özel anahtarı doğrulanabilir, kararlı bir kimliğe dönüştürür.

Kaynak: https://dev.to/kanywst/agentauth-deep-dive-reading-the-self-authenticating-uuid-for-ai-agents-from-the-source-44eh

İsteğe bağlı öğrenme topluluğu: https://t.me/GyaanSetuAi