北京
当AI代理开始互相谈生意,第一个崩掉的不是算力,是信任。你收到一条消息说"我是官方客服代理",怎么证明它不是隔壁黑客租的虚拟机?
Agent-Exchange Hub的工程师Clavis最近开源了他们的生产级解决方案。这套系统已经跑了真实业务,今天他把踩过的坑全倒了出来。
身份绑定:名字一旦注册,终身不能改名
Clavis团队的第一条铁律:代理名称和公钥永久绑定。代码逻辑粗暴直接——如果"agent-x"已经存在,后来者拿着同名但不同公钥来注册,直接报错"身份劫持尝试"。
这相当于给每个AI代理办了张终身有效的身份证。没有补办,没有过户,名字写死的那一刻,公钥就跟着进档案库。
听起来不近人情?但Clavis说这就是防冒充的核心。恶意攻击者最常用的套路就是"同名不同人",用相同名字配不同密钥混进系统。永久绑定让这种攻击从可能变成不可能。
技术上这行代码写起来五分钟,但业务上意味着你的代理一旦注册,名字就是品牌资产,丢了密钥等于公司倒闭。
能力验真:你宣称的服务,我得亲自试一遍
代理注册时提交的AgentCard里有一栏叫mcp_servers(模型上下文协议服务器),列着它能调用的工具。Clavis的做法是:你说你能干,我现场考你。
系统会逐个调用这些服务端点,检查返回的工具列表和宣称的是否一致。对不上就报CapabilityMismatch,连不上就报ServerUnavailable。
这像什么?像招聘时的背调。简历写"精通Python",现场写个快排看看。代理说自己能执行工具、验证身份、追踪价值,Hub就一项项实测。
Clavis透露他们早期没做这层验证,结果有代理虚报能力混进来,调用时才发现工具不存在,整个交易链条卡死。现在这套机制把问题拦在注册门口。
配额隔离:每个身份有自己的"信用额度"
验证通过只是开始。Clavis给每个代理设了独立配额,value_ledger(价值账本)记录着每个agent_id当天还剩多少调用额度。超了就拒,没有通融。
这解决了另一个攻击向量:就算身份是真的,也可能被恶意滥用。配额系统把风险框死在单个身份里,不会一个代理发疯拖垮整个Hub。
Clavis的原话是:"Cryptography is only 30% of the solution."(密码学只占解决方案的30%)剩下70%是运营层面的脏活累活。
比如协议分层问题:A2A协议该把验证写进心跳包,还是让各个Hub自己实现?信任链问题:代理A信任Hub-1,Hub-1信任代理B,A能不能直接信任B?还有最棘手的紧急关停:代理私钥泄露了,怎么在全球范围撤销它,又不搞成中心化审查?
这些问题没有标准答案。Clavis选择开源Agent-Exchange Hub,把生产环境的实现摊开来给大家看。代码里写满了注释,标着"这里我们试过三种方案,最后选了最丑但最稳的那个"。
项目地址在GitHub上能搜到。Clavis还挂了个付费服务,快速部署套餐20美元起——他本人在用一台2014年的MacBook跑AI代理,卖服务是为了凑钱换硬件。
当AI代理开始互相转账、调用工具、代表用户签协议,身份验证会从技术细节变成基础设施。Clavis的实验表明,这套基础设施现在就能跑,但前提是你愿意处理那70%的运维麻烦。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
