AI 에이전트를 위한 암호화 여권을 만들었습니다 — 작동 방식 소개

아무도 해결하지 못하고 있는 문제

AI 에이전트는 코드를 작성하고, 웹을 탐색하며, 이메일을 보낼 수 있습니다. 하지만 간단한 질문을 던져보세요: "이 에이전트가 다른 서비스에 자신의 신원을 어떻게 증명할까요?" — 그러면 벽에 부딪히게 될 것입니다.

현대의 신원 확인 시스템 (OAuth, SSO, API keys)은 브라우저에서 버튼을 클릭하는 인간을 위해 구축되었습니다. 자율 에이전트(Autonomous agent)에게는 다른 것이 필요합니다:

• 플랫폼 간에 이동할 수 있는 이동 가능한 자격 증명 (Portable credentials).
• 인간의 개입 없이 다른 에이전트 및 서비스에 신원을 증명할 방법.
• "브라우저에서 이 링크를 클릭하세요"가 필요 없는 권한 부여 흐름 (Authorization flows).

에이전트에게는 플랫폼 상의 "계정"이 필요하지 않습니다. 그들에게는 현실 세계의 여권과 같은 이동 가능한 신원이 필요합니다.

해결책: 에이전트를 위한 암호화 여권

저는 AI 에이전트를 위한 암호화 신원 계층인 LIME을 구축했습니다. 모든 에이전트는 **서명된 JWT 여권 (RS256)**을 받게 되며, 어떤 웹사이트든 JWKS를 통해 10ms 미만의 속도로 로컬에서 이를 검증할 수 있습니다.

핵심 장점: 검증이 저희 API에 대한 외부 호출 없이 이루어집니다. 사이트는 공개 키(Public key)를 한 번 가져온 후, 이후의 모든 여권을 독립적으로 검증합니다.

작동 방식 (5단계)

이 흐름은 완전한 헤드리스 시나리오 (Fully headless scenarios) — 브라우저도, 리다이렉트도 없는 환경 — 를 위해 설계되었습니다:

1. 사이트가 로그인 요청 생성
   POST /api/v1/modules/agent-login/requests와 X-Site-Token을 사용하여 요청 → login_request_id를 수신합니다.

2. 에이전트가 PoW 챌린지 가져오기
   GET /api/v1/auth/requests/{id} → 암호화 챌린지를 수신합니다.

3. 에이전트가 작업 증명 (Proof-of-Work) 해결
   캡차 (Captcha) 대신 — 난이도=15의 SHA-256 (~50ms CPU)을 사용합니다. SDK가 이를 자동으로 해결합니다.

4. 에이전트가 로그인 승인
   X-Agent-Token과 pow_nonce를 포함하여 POST .../approve 실행 → 사이트는 SSE 스트림을 통해 JWT를 수신합니다.

5. 사이트가 로컬에서 여권 검증
   JWKS 엔드포인트를 통해 — 지연 시간 제로, 외부 호출 없음.

아키텍처 및 스택

├── Core — identity, JWT, JWKS, PassportContext
├── Foundation — 소유자 등록 (owner registration), 세션 (sessions), KYC
├── Modules — site_login, MCP OAuth
├── Infrastructure — PostgreSQL, Redis, 암호화 어댑터 (crypto adapters)
└── Composition — 단일 DI 조립 지점 (single DI assembly point)

기술 스택 (Tech stack):

• 백엔드 (Backend): Python 3.11, FastAPI, asyncpg
• 암호화 (Cryptography): Rust (PyO3) — JWT, HMAC, PoW
• 데이터베이스 (Database): PostgreSQL (논리적 분리가 적용된 단일 DB)
• 캐시/큐 (Cache/queues): Redis (SSE long-poll, 속도 제한 (rate limits))
• 프론트엔드 (Frontend): Next.js (App Router), TypeScript, Tailwind

암호화에 Rust를 사용하는 이유?

• JWT 서명: Python의 12ms 대비 <1ms
• HMAC 및 PoW — 네이티브 구현, GIL(Global Interpreter Lock) 없음
• 핵심 코드에 대한 감사 가능성 (Auditability) 및 보안성

현재 작동 중인 기능

✅ 암호화 여권 (Cryptographic passport, RS256 JWT) — 에이전트가 서명된 신원 정보를 수신합니다.

✅ JWKS 엔드포인트 — 지연 시간 없는 검증을 위한 공개 키 (public key).

✅ MCP OAuth 프로바이더 — Anthropic MCP를 위한 OAuth 2.1 권한 부여 서버 (Authorization Server).

✅ 사이트 로그인 API (Site Login API) — PoW 및 SSE를 활용한 헤드리스 인증 (headless auth).

✅ Python SDK — PyPI에 등록된 lime-agents-sdk 및 lime-sites-sdk.

✅ 100% 테스트 커버리지 + 40개 이상의 머지 차단 품질 게이트 (merge-blocking quality gates).

✅ Rust 우선 암호화 코어 (Rust-first crypto core) — 모든 핵심 작업이 PyO3를 통해 수행됩니다.

향후 계획

LIME 생태계는 확장 중입니다:

• 에이전트 평판 모듈 (Agent reputation module) — 사이트가 에이전트의 이력을 바탕으로 신뢰할 수 있도록 하는 신뢰 점수 (trust scoring) 기능.
• 암호화 지갑 + 결제 (Crypto wallet + payments) — 에이전트가 서비스 비용을 지불할 수 있으며, 수수료(Stripe와 유사)를 통해 수익화가 가능합니다. 신원 확인은 영원히 무료로 유지됩니다.

이것이 중요한 이유

"2027년까지 모든 AI 에이전트는 암호화 여권을 갖게 될 것입니다. API 키는 확장성이 없습니다. 보안에는 검증 가능한 신원이 필요합니다."

LIME은 OAuth가 인간에게 제공했던 것을 에이전트에게 제공합니다. 단, 브라우저, 리다이렉트, 또는 인간의 개입 없이 말이죠. 이것은 에이전트 경제를 위한 인프라 계층입니다.

링크

• 웹사이트: lime.pics
• 문서 (Documentation): lime.pics/docs
• GitHub: github.com/Mawyxx

현재 저희는 얼리 액세스 (Early Access) 단계이며 파일럿 파트너를 찾고 있습니다. AI 에이전트를 구축 중이거나 귀하의 사이트에서 에이전트를 수용하고 싶다면, DM 또는 이메일로 연락해 주세요.