AI News HubLIVE
站內改寫2 分鐘閱讀

Show HN: Clay Seal Identity – 代理需要問責制

Clay Seal Identity 是一個開源專案,為 AI 代理提供短期、可驗證的憑證,確保身份認證和問責制。它基於 SPIFFE 標準,支援 JWT 和 X.509 憑證、Ed25519 工作負載金鑰、離線驗證,以及 Biscuit 能力令牌。該專案包含 Python SDK 和可選的 FastAPI 服務,適用於需要確認代理身份、委託方和憑證有效性的場景。它只是 Clay Seal 的第一層,後續層將提供執行時的能力作用域和執行收據。

來源Hacker News AI作者: pberlizov

Clay Seal Identity 是一個專注於 AI 代理身份和問責制的開源專案,旨在解決代理在操作真實系統時的身份驗證問題。該專案為每個代理執行提供短期、可驗證的憑證,而不是借用長期的人類或服務 API 金鑰。其核心目標是讓接收服務能夠明確回答:這個代理是誰?誰啟動了它?憑證何時過期?呼叫者是否持有令牌繫結的工作負載金鑰?

該專案是 Clay Seal 的第一層(L1),後續的 L2 和 L3 層(目前處於私有預覽階段)將分別新增執行時能力作用域和執行收據,以提供比單純身份更強的執行保障。L1 本身專注於身份證明和憑證的有效性,但並非完整的執行時沙箱。對於需要撤銷敏感的操作,建議使用線上驗證或伺服器端能力授權。

技術實現上,Clay Seal Identity 支援 SPIFFE JWT-SVID 和 X.509-SVID 憑證,用於廣泛的聯合相容性和 mTLS 支援。同時,它使用 Ed25519 工作負載金鑰進行傳送方約束和離線持有證明。憑證包含持有證明確認宣告,即使令牌被盜也無法單獨使用。此外,專案還提供作用域化的租戶 API 金鑰(包括髮行者、驗證者、讀取者、撤銷者、管理員角色),以及 Biscuit 原語用於本地 Clay Seal 能力事實。

專案包含一個以 Python SDK 為中心的實現,核心庫為 clayseal.identity,並提供一個可選的 FastAPI 身份服務用於集中式發行和驗證。SDK 支援開發模式下的快速原型設計,生產環境則需使用平臺頒發的證明文件(如 GCP 例項身份令牌、Kubernetes 服務賬戶令牌或 AWS EC2 例項身份文件)。儲存方面,預設使用 SQLite 進行開發,生產環境支援 PostgreSQL,並透過 Alembic 進行遷移管理。

整合方面,Clay Seal Identity 提供了針對 MCP 伺服器的原生支援,透過 @clayseal/verify JavaScript 驗證器用於 Node 環境,以及 Hermes Agent 的技能整合。專案文件詳細說明了 FastAPI、MCP、LangChain 等框架的整合方式,並提供了零配置的演示示例,幫助開發者快速上手。

需要注意的是,該專案當前版本(0.6.0 釋出於 2026 年 7 月 10 日)僅提供身份層,已知的安全邊界已在文件中記錄。對於涉及敏感資料的整合,建議在整合前閱讀隱私文件。開源社群正在積極尋求貢獻,特別是在實際整合和負面測試方面。