Оглавление

Наступает эра автоматической оплаты, когда искусственный интеллект самостоятельно совершает покупки от имени пользователей, и это создает серьезные вызовы для безопасности транзакций. Cloudflare объявила о партнерстве с Visa и Mastercard для защиты автоматизированной коммерции, когда ИИ-агенты ищут, сравнивают и покупают товары вместо людей.

Проблемы автоматической коммерции

Автоматическая коммерция — это совершение покупок с помощью ИИ-агентов. По мере того как такие агенты выполняют все больше транзакций, продавцам необходимо защищать себя и поддерживать доверие клиентов. Перед торговыми компаниями встают серьезные вопросы:

  • Как отличить полезного, одобренного ИИ-агента от вредоносного бота или веб-краулера?
  • Представляет ли агент известного, постоянного клиента или совершенно нового пользователя?
  • Какие конкретные инструкции потребитель дал своему агенту, которые продавец должен учитывать?

Web Bot Auth как основа безопасности

В мае Cloudflare представила предложение под названием Web Bot Auth для криптографической аутентификации трафика агентов. Исторически трафик агентов классифицировался с помощью user agent и IP-адреса, но эти поля можно подделать, что приводит к неточным классификациям.

Visa разработала Trusted Agent Protocol, а Mastercard создала Agent Pay — обе технологии используют Web Bot Auth как уровень аутентификации агентов. Это позволяет сетям вроде Cloudflare проверять трафик от ИИ-агентов, зарегистрированных в платежных системах.

Интересно наблюдать, как платежные гиганты догоняют технологические компании в области ИИ-безопасности. Пока все кричат о революции агентного ИИ, Visa и Mastercard тихо работают над тем, чтобы эта революция не закончилась массовыми мошенническими операциями. Технически решение выглядит грамотным — использование криптографических подписей вместо легко подделываемых заголовков. Но остается вопрос: сколько лет потребуется, чтобы такие стандарты стали повсеместными в индустрии?

Как работает система

Для функционирования системы требуется экосистема участников. Разработчики агентов создают агентов для покупок от имени потребителей. Эти агенты взаимодействуют с продавцами, которым нужен надежный способ определить, что запрос сделан от имени потребителей. Продавцы полагаются на сети типа Cloudflare для проверки криптографических подписей агентов. Платежные системы Visa и Mastercard связывают идентификацию держателя карты с транзакциями автоматической коммерции.

Оба протокола требуют, чтобы агенты регистрировались и имели свои открытые ключи в общедоступном каталоге. Это позволяет продавцам и сетям получать ключи для проверки HTTP-подписей сообщений.

Техническая реализация

Новые агенты передают информацию о своей регистрации, идентификации и платежных данных продавцу с использованием HTTP Message Signatures. Оба протокола расширяют Web Bot Auth, вводя новый тег, который агенты должны указывать в заголовке Signature-Input, определяя, просматривает ли агент каталог или совершает покупку.

Пример запроса агента для просмотра каталога:

GET /path/to/resource HTTP/1.1
Host: www.example.com
User-Agent: Mozilla/5.0 Chrome/113.0.0 MyShoppingAgent/1.1
Signature-Input:
sig2=("@authority" "@path");
created=1735689600;
expires=1735693200;
keyid="poqkLGiymh_W0uP6PZFw-dvez3QJT5SolqXBCW38r0U";
alg="Ed25519"; nonce="e8N7S2MFd/qrd6T2R3tdfAuuANngKI7LFtKYI/vowzk4IAZyadIX6wW25MwG7DCT9RUKAJ0qVkU0mEeLEIW1qg==";
tag="web-bot-auth"
Signature: sig2=:jdq0SqOwHdyHr9+r5jw3iYZH6aNGKijYp/EstF4RQTQdi5N5YYKrD+mCT1HA1nZDsi6nJKuHxUi/5Syp3rLWBA==:

Cloudflare выполняет семь проверок для валидации запросов:

  1. Подтверждает наличие заголовков Signature-Input и Signature
  2. Извлекает keyid из Signature-Input и получает ключ из каталога
  3. Проверяет, что текущее время находится между временными метками created и expires
  4. Проверяет уникальность nonce в кэше
  5. Проверяет валидность tag в соответствии с протоколом
  6. Восстанавливает каноническую базу подписи
  7. Выполняет криптографическую проверку подписи ed25519

Протоколы Trusted Agent Protocol и Agent Pay разработаны так, чтобы продавцы могли получать выгоду от механизмов валидации без изменения своей инфраструктуры. Вместо этого торговые компании могут устанавливать правила для взаимодействий агентов на своем сайте и полагаться на Cloudflare как на валидатор.

Это сотрудничество знаменует важный шаг в создании инфраструктуры для безопасной автоматической коммерции, где ИИ-агенты смогут надежно совершать транзакции от имени пользователей, сохраняя при этом высокий уровень безопасности и доверия.

По материалам Cloudflare.