CNCF: Agent Auth — siguran identitet i delegacija ovlasti za AI agente
CNCF objašnjava zašto AI agenti trebaju vlastiti kriptografski identitet i mehanizam delegacije ovlasti. On-Behalf-Of token nosi i identitet agenta i korisnikov principal, uz točno definirani scope — sve što nedostaje klasičnom user-only auth modelu.
Ovaj članak generiran je uz pomoć umjetne inteligencije na temelju primarnih izvora.
Zašto klasični auth model ne funkcionira za agente
Kad AI agent izvršava radnje u ime korisnika, klasični pristup — agent nasljeđuje korisnički token — stvara sigurnosnu rupu: sustavi ne znaju je li radnju pokrenuo čovjek ili autonomni agent, a revizijski tragovi postaju neupotrebljivi. Lin Sun, CNCF Ambassador, objavio je 23. lipnja 2026. analizu koja opisuje kako riješiti ovaj problem u produkcijskim sustavima.
Pet zahtjeva koje svaki agent auth sustav mora ispuniti
Rješenje počiva na pet tehničkih uvjeta. Prvo, svaki agent mora imati vlastiti jak identitet — SPIFFE (Secure Production Identity Framework for Everyone, otvoreni standard za kriptografske identitete cloud-native radnih opterećenja) daje agentima dokazivi certifikat neovisan o korisniku. Drugo, agent mora propagirati principal identitet — znati i prenijeti tko ga je ovlastio. Treće, sustav mora moći izdati i validirati delegation token. Četvrto, enforcement politike mora biti eksplicitan. Peto, svaka delegirana radnja mora ostaviti revizijski trag.
Što je OBO token i čime nadilazi korisnički token
Ključni artefakt je On-Behalf-Of (OBO) token — za razliku od klasičnog tokena koji prenosi puni korisnički pristup, OBO sadrži četiri elementa: identitet agenta, principal (korisnički) identitet, delegirane ovlasti i scope. Rezultat: sustav zna točno što agent smije raditi i u čije ime — umjesto da agent efektivno „postane” korisnik bez ikakvih ograničenja.
Ekosustav koji to već omogućava
Referentni alati koje Sun navodi — cert-manager, Istio i agentgateway — već postoje u CNCF ekosustavu. To znači da timovi ne moraju graditi auth infrastrukturu od nule; trebaju samo kompoziciju provjerenih komponenti oko OBO tokena i SPIFFE identiteta.
Česta pitanja
- Što je SPIFFE i zašto ga AI agenti trebaju?
- SPIFFE (Secure Production Identity Framework for Everyone) je standard za kriptografski dokazive identitete radnih opterećenja u cloud-native okruženjima. AI agenti trebaju SPIFFE jer bez vlastitog identiteta sustavi ne mogu razlikovati koji agent izvršava koje radnje.
- Kako OBO token razlikuje delegaciju od punog pristupa?
- On-Behalf-Of (OBO) token eksplicitno kodira i identitet agenta i identitet korisnika (principal) te ograničava operacije na točno navedeni scope — za razliku od klasičnog tokena koji prenosi puni korisnički pristup bez traga o posredniku.