Show HN: Clay Seal Identity – 代理需要問責制
Clay Seal Identity 是一個開源項目,為 AI 代理提供短期、可驗證的憑證,確保身份認證和問責制。它基於 SPIFFE 標準,支持 JWT 和 X.509 憑證、Ed25519 工作負載密鑰、離線驗證,以及 Biscuit 能力令牌。該項目包含 Python SDK 和可選的 FastAPI 服務,適用於需要確認代理身份、委託方和憑證有效性的場景。它只是 Clay Seal 的第一層,後續層將提供運行時的能力作用域和執行收據。
Clay Seal Identity 是一個專注於 AI 代理身份和問責制的開源項目,旨在解決代理在操作真實系統時的身份驗證問題。該項目為每個代理運行提供短期、可驗證的憑證,而不是借用長期的人類或服務 API 密鑰。其核心目標是讓接收服務能夠明確回答:這個代理是誰?誰啓動了它?憑證何時過期?調用者是否持有令牌綁定的工作負載密鑰?
該項目是 Clay Seal 的第一層(L1),後續的 L2 和 L3 層(目前處於私有預覽階段)將分別添加運行時能力作用域和執行收據,以提供比單純身份更強的執行保障。L1 本身專注於身份證明和憑證的有效性,但並非完整的運行時沙箱。對於需要撤銷敏感的操作,建議使用在線驗證或服務器端能力授權。
技術實現上,Clay Seal Identity 支持 SPIFFE JWT-SVID 和 X.509-SVID 憑證,用於廣泛的聯合兼容性和 mTLS 支持。同時,它使用 Ed25519 工作負載密鑰進行發送方約束和離線持有證明。憑證包含持有證明確認聲明,即使令牌被盜也無法單獨使用。此外,項目還提供作用域化的租户 API 密鑰(包括髮行者、驗證者、讀取者、撤銷者、管理員角色),以及 Biscuit 原語用於本地 Clay Seal 能力事實。
項目包含一個以 Python SDK 為中心的實現,核心庫為 clayseal.identity,並提供一個可選的 FastAPI 身份服務用於集中式發行和驗證。SDK 支持開發模式下的快速原型設計,生產環境則需使用平台頒發的證明文檔(如 GCP 實例身份令牌、Kubernetes 服務賬户令牌或 AWS EC2 實例身份文檔)。存儲方面,默認使用 SQLite 進行開發,生產環境支持 PostgreSQL,並通過 Alembic 進行遷移管理。
集成方面,Clay Seal Identity 提供了針對 MCP 服務器的原生支持,通過 @clayseal/verify JavaScript 驗證器用於 Node 環境,以及 Hermes Agent 的技能集成。項目文檔詳細説明了 FastAPI、MCP、LangChain 等框架的集成方式,並提供了零配置的演示示例,幫助開發者快速上手。
需要注意的是,該項目當前版本(0.6.0 發佈於 2026 年 7 月 10 日)僅提供身份層,已知的安全邊界已在文檔中記錄。對於涉及敏感數據的集成,建議在整合前閲讀隱私文檔。開源社區正在積極尋求貢獻,特別是在實際集成和負面測試方面。