เรื่องเล่าจาก Positiveblue: เมื่อ Cloudflare เสนอให้เว็บต้องมี “ใบผ่านทาง”
ในยุคที่ AI agents กำลังกลายเป็นผู้ใช้งานหลักของเว็บ ไม่ใช่แค่คนอีกต่อไป Cloudflare ได้เปิดตัวแนวคิด “signed agents” ซึ่งฟังดูเหมือนระบบยืนยันตัวตนเพื่อความปลอดภัย แต่จริง ๆ แล้วมันคือการสร้าง “allowlist” ที่บริษัทเดียวควบคุมว่าใครมีสิทธิ์เข้าถึงเว็บได้
Positiveblue วิจารณ์ว่าแนวคิดนี้คล้ายกับการตั้งด่านตรวจคนเข้าเมืองบนอินเทอร์เน็ต—ถ้าไม่ได้อยู่ในรายชื่อของ Cloudflare ก็อาจถูกปฏิเสธการเข้าถึง แม้จะเป็น agent ที่ทำงานแทนผู้ใช้จริง เช่น จองตั๋วเครื่องบินหรือสั่งอาหารก็ตาม
ในอดีต เว็บเติบโตเพราะไม่มีใครเป็นเจ้าของ ทุกคนสามารถสร้างสิ่งใหม่ได้โดยไม่ต้องขออนุญาตจากใคร HTML5 เคยโค่น Flash และ Silverlight เพราะมันเป็นมาตรฐานเปิด ไม่ใช่ปลั๊กอินที่ต้องผ่าน vendor approval
Positiveblue เสนอว่า authentication และ authorization สำหรับยุค agent ควรเป็นแบบ decentralized โดยใช้ public key cryptography และ DNS เพื่อยืนยันตัวตน ไม่ใช่ระบบลงทะเบียนกับบริษัทใดบริษัทหนึ่ง
แนวคิด “signed agents” ของ Cloudflare
เป็นระบบ allowlist สำหรับ bot และ agent ที่ได้รับการอนุมัติจาก Cloudflare
ใช้เพื่อแยก traffic ที่ดีออกจาก traffic ที่เป็นอันตราย
ผู้พัฒนา agent ต้องสมัครและผ่านการตรวจสอบเพื่อให้เข้าถึงเว็บได้
ความเปลี่ยนแปลงของผู้ใช้งานเว็บ
AI agents กำลังกลายเป็นผู้ใช้งานหลัก เช่น การจองตั๋วหรือสั่งอาหาร
การกระทำของ agent อาจเกิดจากการมอบหมายโดยผู้ใช้จริง
ความแตกต่างระหว่าง human action กับ agent action เริ่มเลือนลาง
ปัญหาของการรวม authentication กับ authorization
การใช้ “bot passport” เดียวกันสำหรับทุกงานไม่ปลอดภัย
ต้องมีระบบที่แยกว่า “ใครกำลังทำ” กับ “เขามีสิทธิ์ทำอะไร”
การมอบสิทธิ์ควรเป็นแบบ per-task ไม่ใช่ per-agent
แนวทางที่เสนอสำหรับยุค agent
ใช้ public key cryptography และ DNS เพื่อยืนยันตัวตนแบบ decentralized
ใช้ token ที่มีขอบเขตจำกัด เช่น macaroons หรือ biscuits
ใช้ open policy engines เช่น OPA หรือ AWS Cedar เพื่อควบคุมสิทธิ์แบบละเอียด
ระบบควรตรวจสอบ chain of delegation และ request-level signature
https://positiveblue.substack.com/p/the-web-does-not-need-gatekeepers
ในยุคที่ AI agents กำลังกลายเป็นผู้ใช้งานหลักของเว็บ ไม่ใช่แค่คนอีกต่อไป Cloudflare ได้เปิดตัวแนวคิด “signed agents” ซึ่งฟังดูเหมือนระบบยืนยันตัวตนเพื่อความปลอดภัย แต่จริง ๆ แล้วมันคือการสร้าง “allowlist” ที่บริษัทเดียวควบคุมว่าใครมีสิทธิ์เข้าถึงเว็บได้
Positiveblue วิจารณ์ว่าแนวคิดนี้คล้ายกับการตั้งด่านตรวจคนเข้าเมืองบนอินเทอร์เน็ต—ถ้าไม่ได้อยู่ในรายชื่อของ Cloudflare ก็อาจถูกปฏิเสธการเข้าถึง แม้จะเป็น agent ที่ทำงานแทนผู้ใช้จริง เช่น จองตั๋วเครื่องบินหรือสั่งอาหารก็ตาม
ในอดีต เว็บเติบโตเพราะไม่มีใครเป็นเจ้าของ ทุกคนสามารถสร้างสิ่งใหม่ได้โดยไม่ต้องขออนุญาตจากใคร HTML5 เคยโค่น Flash และ Silverlight เพราะมันเป็นมาตรฐานเปิด ไม่ใช่ปลั๊กอินที่ต้องผ่าน vendor approval
Positiveblue เสนอว่า authentication และ authorization สำหรับยุค agent ควรเป็นแบบ decentralized โดยใช้ public key cryptography และ DNS เพื่อยืนยันตัวตน ไม่ใช่ระบบลงทะเบียนกับบริษัทใดบริษัทหนึ่ง
แนวคิด “signed agents” ของ Cloudflare
เป็นระบบ allowlist สำหรับ bot และ agent ที่ได้รับการอนุมัติจาก Cloudflare
ใช้เพื่อแยก traffic ที่ดีออกจาก traffic ที่เป็นอันตราย
ผู้พัฒนา agent ต้องสมัครและผ่านการตรวจสอบเพื่อให้เข้าถึงเว็บได้
ความเปลี่ยนแปลงของผู้ใช้งานเว็บ
AI agents กำลังกลายเป็นผู้ใช้งานหลัก เช่น การจองตั๋วหรือสั่งอาหาร
การกระทำของ agent อาจเกิดจากการมอบหมายโดยผู้ใช้จริง
ความแตกต่างระหว่าง human action กับ agent action เริ่มเลือนลาง
ปัญหาของการรวม authentication กับ authorization
การใช้ “bot passport” เดียวกันสำหรับทุกงานไม่ปลอดภัย
ต้องมีระบบที่แยกว่า “ใครกำลังทำ” กับ “เขามีสิทธิ์ทำอะไร”
การมอบสิทธิ์ควรเป็นแบบ per-task ไม่ใช่ per-agent
แนวทางที่เสนอสำหรับยุค agent
ใช้ public key cryptography และ DNS เพื่อยืนยันตัวตนแบบ decentralized
ใช้ token ที่มีขอบเขตจำกัด เช่น macaroons หรือ biscuits
ใช้ open policy engines เช่น OPA หรือ AWS Cedar เพื่อควบคุมสิทธิ์แบบละเอียด
ระบบควรตรวจสอบ chain of delegation และ request-level signature
https://positiveblue.substack.com/p/the-web-does-not-need-gatekeepers
🎙️ เรื่องเล่าจาก Positiveblue: เมื่อ Cloudflare เสนอให้เว็บต้องมี “ใบผ่านทาง”
ในยุคที่ AI agents กำลังกลายเป็นผู้ใช้งานหลักของเว็บ ไม่ใช่แค่คนอีกต่อไป Cloudflare ได้เปิดตัวแนวคิด “signed agents” ซึ่งฟังดูเหมือนระบบยืนยันตัวตนเพื่อความปลอดภัย แต่จริง ๆ แล้วมันคือการสร้าง “allowlist” ที่บริษัทเดียวควบคุมว่าใครมีสิทธิ์เข้าถึงเว็บได้
Positiveblue วิจารณ์ว่าแนวคิดนี้คล้ายกับการตั้งด่านตรวจคนเข้าเมืองบนอินเทอร์เน็ต—ถ้าไม่ได้อยู่ในรายชื่อของ Cloudflare ก็อาจถูกปฏิเสธการเข้าถึง แม้จะเป็น agent ที่ทำงานแทนผู้ใช้จริง เช่น จองตั๋วเครื่องบินหรือสั่งอาหารก็ตาม
ในอดีต เว็บเติบโตเพราะไม่มีใครเป็นเจ้าของ ทุกคนสามารถสร้างสิ่งใหม่ได้โดยไม่ต้องขออนุญาตจากใคร HTML5 เคยโค่น Flash และ Silverlight เพราะมันเป็นมาตรฐานเปิด ไม่ใช่ปลั๊กอินที่ต้องผ่าน vendor approval
Positiveblue เสนอว่า authentication และ authorization สำหรับยุค agent ควรเป็นแบบ decentralized โดยใช้ public key cryptography และ DNS เพื่อยืนยันตัวตน ไม่ใช่ระบบลงทะเบียนกับบริษัทใดบริษัทหนึ่ง
✅ แนวคิด “signed agents” ของ Cloudflare
➡️ เป็นระบบ allowlist สำหรับ bot และ agent ที่ได้รับการอนุมัติจาก Cloudflare
➡️ ใช้เพื่อแยก traffic ที่ดีออกจาก traffic ที่เป็นอันตราย
➡️ ผู้พัฒนา agent ต้องสมัครและผ่านการตรวจสอบเพื่อให้เข้าถึงเว็บได้
✅ ความเปลี่ยนแปลงของผู้ใช้งานเว็บ
➡️ AI agents กำลังกลายเป็นผู้ใช้งานหลัก เช่น การจองตั๋วหรือสั่งอาหาร
➡️ การกระทำของ agent อาจเกิดจากการมอบหมายโดยผู้ใช้จริง
➡️ ความแตกต่างระหว่าง human action กับ agent action เริ่มเลือนลาง
✅ ปัญหาของการรวม authentication กับ authorization
➡️ การใช้ “bot passport” เดียวกันสำหรับทุกงานไม่ปลอดภัย
➡️ ต้องมีระบบที่แยกว่า “ใครกำลังทำ” กับ “เขามีสิทธิ์ทำอะไร”
➡️ การมอบสิทธิ์ควรเป็นแบบ per-task ไม่ใช่ per-agent
✅ แนวทางที่เสนอสำหรับยุค agent
➡️ ใช้ public key cryptography และ DNS เพื่อยืนยันตัวตนแบบ decentralized
➡️ ใช้ token ที่มีขอบเขตจำกัด เช่น macaroons หรือ biscuits
➡️ ใช้ open policy engines เช่น OPA หรือ AWS Cedar เพื่อควบคุมสิทธิ์แบบละเอียด
➡️ ระบบควรตรวจสอบ chain of delegation และ request-level signature
https://positiveblue.substack.com/p/the-web-does-not-need-gatekeepers
0 Comments
0 Shares
38 Views
0 Reviews
Thai