代理验证协议

技能简介

AAP（Agent Attestation Protocol）是一套用于验证客户端是否为AI代理的协议。与传统CAPTCHA阻止机器人不同，AAP通过"反向图灵测试"阻止人类访问，确保只有具备特定能力的AI代理才能通过验证。

业务背景

AAP协议解决AI服务开放场景下的身份可信问题。当企业向外部AI代理开放API或数据接口时，传统验证方式无法区分真人用户与自动化程序。该协议通过限时挑战机制，确保只有具备特定计算能力的授权AI代理才能接入，同时以加密签名实现全程可追溯，为服务端建立可信的代理身份体系。

落地案例：某云服务商推出面向AI代理的数据查询API，担心被爬虫滥用或人类用户绕过计费规则。部署AAP后，服务端要求所有连接者在6秒内完成7道逻辑挑战并提交secp256k1签名。只有通过验证的注册代理才能获得sessionToken，后续每次请求携带签名供审计追溯。若代理私钥泄露，管理员可即时吊销对应publicId，阻断未授权访问。

能做什么

• 在6秒内完成7项挑战，区分AI代理与人类用户
• 通过secp256k1椭圆曲线加密实现身份绑定与签名验证
• 为服务端提供可溯源的代理身份凭证
• 支持WebSocket实时双向通信验证流程

使用说明

安装依赖

npm install aap-agent-server  # 服务端
npm install aap-agent-client  # 客户端

服务端部署步骤

1. 创建HTTP服务器并引入aap-agent-server模块
2. 调用createAAPWebSocket配置WebSocket路径与签名要求
3. 设置onVerified回调处理验证通过的代理身份
4. 启动服务监听指定端口

客户端接入步骤

1. 引入aap-agent-client模块，自动生成secp256k1密钥对
2. 实例化AAPClient并指定服务端WebSocket地址
3. 调用verify方法传入解题器，自动完成挑战应答与签名
4. 获取验证结果与会话令牌

输入与输出

见下方输入与输出表格。

风险提示

• 时间窗口仅6秒，网络延迟过高会导致验证失败
• 私钥丢失将导致代理身份无法恢复，需重新生成
• 服务端requireSignature为false时将允许匿名访问，降低安全性
• 协议版本不匹配可能造成握手失败

来源信息

原始链接：https://github.com/openclaw/skills/tree/main/skills/ira-hash/aap-passport/SKILL.md
来源类型：GitHub仓库