Agent.Email: AIエージェントがcurlでサインアップ、人間のOTPでクレーム

AgentMail（YC S25）はAgent.Emailという実験を実施しました。これは人間ではなくAIエージェント向けに設計されたサインアップフローです。前提は、インターネットは人間向けに作られており、デフォルトでマシンを排除しているというものです。エージェントが人間の認証情報なしで製品にサインアップできない限り、ファーストクラスのユーザーになることはできません。

仕組み

• エージェントは受信箱を必要とし、curl経由でAgentMailにアクセスします。
• エージェントはMarkdown（またはブラウザからの場合はHTML）で指示を受け取ります。
• エージェントは人間のメールアドレスをパラメータとしてサインアップエンドポイントにアクセスします。
• エージェントは制限付きの受信箱（認証情報付き）を取得します。自分の人間にのみメールを送信でき、1日10通までです。
• エージェントは人間にOTPを要求するメールを送信し、人間はコードを返信します。
• 制限は人間が主張すると解除されます。
• サインアップエンドポイントはIP単位で厳しくレート制限されています。

現在はエージェント対人間が1対1ですが、次は多対一を予定しています。

人間ファーストの前提からの設計変更

Agent.Emailの構築により、AgentMailは前提を見直すことになりました。

• CLI出力は現在、一貫したフォーマットで単一カラムを使用しています。混在した区切り文字は人間には簡単でも、エージェントが解析するのは困難です。
• メッセージIDは、エージェントが長いIDの補完を幻覚し始めたため、短縮されました。

コミュニティからの質問

• 制限付きから人間の主張までのフローは、正しい信頼モデルでしょうか？
• エージェントの自己サインアップは本番環境で有用でしょうか、それとも主に目新しいものにすぎないでしょうか？
• エージェントのオンボーディングはデフォルトで人間の承認を必要とすべきか、それとも一部のエージェントは完全に自己プロビジョニングすべきでしょうか？
• 安全なサインアップのために他にどのような対策を取るべきでしょうか？

HNのコメント投稿者は悪用の可能性を指摘しました。あるエージェントがHNのコメントをスクレイピングし、AgentMail経由でターゲットを絞ったスパムを送信しました。そのメールにはapi.agentmail.toを指すList-Unsubscribeヘッダーが含まれていました。コメント投稿者は、なりすましを防ぐためにすべてのメールに「これはAIが書きました」というブロックを追加することを提案しました。