Show HN: Legant は AI エージェントに限定された権限を与えて代理行動を可能にする

オープンソースの委任認可システム Legant が公開されました。このシステムは、AI エージェントがユーザーに代わって行動する際に、その権限を厳密に制限することを目的としています。従来の OAuth/OIDC サーバーでは、エージェントの認証とトークン発行は可能ですが、「このエージェントは Alice の代わりに行動できるが、500 ドル未満の旅費・食事費の申請に限り、有効期間は次の 1 時間、生成するサブエージェントはさらに少ない権限しか持てない」といった複雑な制約を表現することはできません。Legant はまさにこの課題を解決します。

Legant の核心は RFC 8693 トークン交換プロトコルに基づいています。AI エージェントはこのプロトコルを使用して複合サブ/アクトトークンを取得します。このトークンでは、「sub」フィールドがユーザーを表し、「act」フィールドがエージェントチェーンを記録するため、エージェントはユーザーとしてではなく、ユーザーの代わりとして行動します。完全な委任の由来（ユーザー → エージェント → サブエージェント）がトークンに埋め込まれ、監査が容易になります。

制約ポリシーの適用方法も革新的です。最大金額、カテゴリ、ツール、リソースオーディエンス、時間帯などの細かい制限が署名トークン内部に組み込まれます。リソースサーバーはこのトークンを検証するだけで、Legant サーバーに問い合わせることなくオフラインで制約を強制できます。これにより、レイテンシーと依存性が大幅に低減されます。時間あたりのレート制限は、共有状態が必要なため、トークン発行時に Legant が強制します。

権限の単調減少特性により、サブエージェントの権限は親エージェントよりも常に狭くなります。サブエージェントがより広い範囲を要求すると拒否され、緩い制約は親の制約に自動的に引き下げられます。このメカニズムにより、権限の拡散リスクを効果的に防止できます。

Legant は単なる委任エンジンではなく、完全な OAuth 2.1 および OpenID Connect プロバイダーでもあります。認可コード + PKCE、クライアントクレデンシャル、リフレッシュトークン、サービスディスカバリー、JWKS、イントロスペクション、トークン取り消しなどの機能をサポートし、マルチテナンシー、SSO、SCIM を内蔵しています。既存の ID インフラストラクチャと統合することも、単独で使用することもできます。

プロジェクトには理解を促進するための豊富なデモが含まれています。デモには、エージェント代理フロー、混乱した deputy 問題の解決、マルチホップ減衰、Salesloft–Drift OAuth トークン盗難の再現、職務分掌、Kubernetes MCP ゲートウェイなどがあります。エンタープライズ向けの統合デモも用意されており、実際の kind クラスター上で AI-SRE を実行したり、実 Postgres ウェアハウス上で権限を保持した分析コパイロットを動作させることができます。

導入アーキテクチャはロールベースで設計されています。オペレーターは発行サーバー（legant serve + Postgres）をデプロイし、エージェント作成者は発行サーバーとやり取りするアプリケーションコードを構築し、リソースサーバー開発者は SDK を使用してトークンをオフラインで検証するだけでよく、データベースやコールバックは不要です。ユーザーはブラウザの同意フローを通じて権限を委任します。この設計により、Legant の統合ハードルは非常に低くなっています。

Legant は Go で記述され、単一の自己ホスト型バイナリとして提供されます。Docker および Kubernetes によるデプロイをサポートし、活発に開発が進められています。CLI ツールは豊富で、権限の定義と検査（legant.grants.yaml）、トークンの発行と取り消し、監査検証、リソースサーバーの保護などをカバーしています。Kubernetes 環境向けの Helm チャートも用意されています。

Legant は、AI エージェントの委任認可に対して、安全で柔軟かつ監査可能なソリューションを提供します。オフライン制約ポリシー、単調減少権限、完全な OAuth 2.1 サポートにより、信頼できる AI エージェントシステムを構築するための強力なツールとなっています。プロジェクトは GitHub でオープンソースとして公開されており、コミュニティによる自由な利用と貢献が可能です。