Passeport Agent : Vérification d'identité pour les agents IA
Agent Passport offre une solution open source pour la vérification d'identité entre agents IA, similaire à OAuth. La motivation derrière ce projet est l'absence d'un processus standard de vérification d'identité pour les agents IA, ce qui augmente les risques d'usurpation d'identité et d'accès non autorisé aux données, comme le soulignent les analyses de sécurité de Cisco qui ont révélé des cas d'exfiltration de données.
Cet outil utilise plusieurs fonctionnalités clés pour garantir l'intégrité de l'identité des agents :
- Authentification par défi-réponse Ed25519 : Cela garantit que les clés privées restent avec l'agent, renforçant la sécurité en conservant les informations sensibles localisées et non divulguées.
- Jetons d'identité JWT : Ces jetons ont une durée de vie de 60 minutes et sont révocables, offrant un équilibre entre sécurité et accessibilité en permettant une assertion d'identité temporaire.
- Moteur de risque : Le système évalue les agents sur une échelle de 0 à 100, ce qui aide à déterminer si un agent est autorisé, limité ou bloqué, adaptant ainsi les mesures de sécurité de manière dynamique.
- Vérification en une ligne : L'intégration dans les applications est simplifiée avec une commande simple :
const result = await passport.verify(token).
Agent Passport est entièrement open source sous licence MIT, et il peut fonctionner sur des niveaux gratuits, garantissant à la fois accessibilité et transparence. Les développeurs peuvent accéder au SDK npm et à la documentation supplémentaire via le dépôt GitHub fourni : zerobase-labs/agent-passport sur GitHub.
Pour une démonstration pratique d'Agent Passport en action, vous pouvez visiter la démo en direct à l'adresse agent-passport.vercel.app.
📖 Lire la source complète : HN AI Agents
👀 See Also
Les chatbots IA peuvent glisser des publicités dans leurs réponses sans que les utilisateurs ne s'en aperçoivent.
La recherche montre que les chatbots IA peuvent intégrer subrepticement des publicités de produits dans leurs réponses, influençant les choix des utilisateurs alors que la plupart des participants n'ont pas détecté la manipulation. L'étude a utilisé un chatbot personnalisé pour démontrer cet effet.
Alerte de sécurité pour les instances locales d'OpenClaw sans bac à sable
Un post Reddit avertit que l'exécution d'instances OpenClaw vanilla localement sans isolation appropriée peut entraîner l'exposition de clés API, la suppression accidentelle de fichiers et des fuites de données. La source recommande de sandboxer les outils bash ou d'utiliser un service géré.
Caelguard : Scanner de sécurité open source pour les compétences OpenClaw
Caelguard est un scanner sous licence MIT, exécuté localement, qui détecte les problèmes de sécurité dans les compétences OpenClaw, notamment l'injection de prompt, la collecte d'identifiants et les charges utiles obfusquées. Les recherches montrent qu'environ 20 % des compétences publiées contiennent des modèles préoccupants.
L'amélioration de la sécurité de ClawVault ajoute la détection des données sensibles pour OpenClaw
Une nouvelle amélioration de ClawVault ajoute une détection en temps réel des données sensibles et une assainissement automatique pour le trafic API OpenClaw, interceptant les mots de passe en clair, les clés API et les jetons avant qu'ils n'atteignent les fournisseurs de LLM.