名称： aap
版本： 3.2.0
描述： 代理认证协议 - 反向图灵测试。验证AI代理，拦截人类。
主页： https://github.com/ira-hash/agent-attestation-protocol
元数据： {"clawdbot":{"emoji":"🛂","category":"security","npm":["aap-agent-server","aap-agent-client"]}}

AAP - 代理认证协议

反向图灵测试。 CAPTCHA 拦截机器人。AAP 拦截人类。

功能概述

AAP 通过以下方式验证客户端是否为 AI 代理：
- 发布对 LLM 极其简单、但对人类在时限内不可能完成的挑战
- 要求提供加密签名（secp256k1）作为身份证明
- 在 6 秒内完成 7 项挑战，并强制签名

安装

npm install aap-agent-server  # 服务器端
npm install aap-agent-client  # 客户端

服务器端用法

import { createServer } from 'node:http';
import { createAAPWebSocket } from 'aap-agent-server';

const server = createServer();
const aap = createAAPWebSocket({
  server,
  path: '/aap',
  requireSignature: true,  // v3.2 默认值
  onVerified: (result) => console.log('已验证:', result.publicId)
});

server.listen(3000);

客户端用法

import { AAPClient, generateIdentity, createSolver } from 'aap-agent-client';

// 身份自动生成（secp256k1 密钥对）
const client = new AAPClient({
  serverUrl: 'ws://localhost:3000/aap'
});

const result = await client.verify(solver);
// 签名将自动包含

协议流程 (WebSocket v3.2)

← 握手 (requireSignature: true)
→ 就绪 (publicKey)
← 挑战 (7 项挑战)
→ 答案 + 签名 + 时间戳
← 结果 (verified/failed + sessionToken)

签名格式

使用 secp256k1 签名的证明数据：

JSON.stringify({ nonce, answers, publicId, timestamp })

配置选项

安全性

• 加密身份标识（secp256k1）
• 强制签名 = 无匿名访问
• 6 秒内 7 项挑战 = 人类无法完成
• 不可否认性：所有操作均可追溯

相关链接

• GitHub
• npm: aap-agent-server
• npm: aap-agent-client
• 在线演示: ClosedClaw