Show HN: Clay Seal Identity – エージェントの説明責任が必要
Clay Seal Identity は、AIエージェント向けの短期間で検証可能な資格情報を提供するオープンソースプロジェクトです。SPIFFEベースのJWTおよびX.509資格情報、Ed25519ワークロードキー、オフライン検証、Biscuit機能トークンをサポートします。Python SDKとオプションのFastAPI IDサービスを含み、エージェントの身元、委任、資格情報の有効性を確認する必要があるシナリオ向けに設計されています。これはClay Sealスタックのレイヤー1であり、ランタイム機能スコープと実行領収書を提供する後続のレイヤーはプライベートプレビュー段階です。
Clay Seal Identity は、AIエージェントの身元確認と説明責任に焦点を当てたオープンソースプロジェクトです。このプロジェクトは、エージェントが実際のシステムにアクセスする際に、長期の人間用またはサービス用APIキーを借用する代わりに、各エージェント実行に対して短期間で検証可能な資格情報を発行します。受信サービスは、このエージェントは誰か、誰が起動したか、資格情報の有効期限はいつか、呼び出し元がトークンにバインドされたワークロードキーを保持しているか、といった疑問に明確に答えることができます。
このプロジェクトはClay Sealの第1層(L1)であり、現在プライベートプレビュー段階にあるL2(ランタイム機能スコープ)およびL3(実行領収書)と連携することで、身元だけでは不十分な強力な実行保証を提供します。L1は身元と資格情報の有効性に特化しており、完全なランタイムサンドボックスではありません。失効に敏感な操作には、オンライン検証またはサーバー側の能力認可を使用することを推奨します。
技術的には、Clay Seal IdentityはSPIFFE JWT-SVIDおよびX.509-SVID資格情報をサポートし、幅広いフェデレーション互換性とmTLSを実現します。また、Ed25519ワークロードキーを使用して送信者制約とオフラインの所有証明を提供します。資格情報には所有証明の確認クレームが含まれており、トークンが盗まれても単独では使用できません。さらに、スコープ化されたテナントAPIキー(発行者、検証者、読み取り者、取り消し者、管理者の各ロール)と、Clay Sealの能力事実のためのBiscuitプリミティブも提供されます。
プロジェクトはPython SDK(clayseal.identity)を中心としており、集中管理された発行と検証のためのオプションのFastAPI IDサービスを提供します。SDKは開発モードでの迅速なプロトタイピングをサポートし、本番環境ではプラットフォーム発行の証明ドキュメント(GCPインスタンスIDトークン、Kubernetesサービスアカウントトークン、AWS EC2インスタンスIDドキュメントなど)を必要とします。ストレージはデフォルトでSQLite、本番環境ではPostgreSQLを使用し、Alembicによるマイグレーション管理が行われます。
統合面では、MCPサーバー向けのネイティブサポート、Node環境向けの@clayseal/verify JavaScript検証ツール、Hermes Agent向けのスキル統合が提供されています。ドキュメントにはFastAPI、MCP、LangChainなどのフレームワーク統合方法が詳述されており、ゼロ設定のデモサンプルも用意されています。
なお、現行バージョン(2026年7月10日リリースの0.6.0)は身元層のみを提供しており、既知のセキュリティ境界はドキュメントに記載されています。機密データを扱う統合を行う前に、プライバシードキュメントを読むことを推奨します。オープンソースコミュニティは、実際の統合やネガティブテストなどの貢献を積極的に歓迎しています。