Uber và Auth0 giải quyết bài toán danh tính và quyền hạn cho AI Agent trong kiến trúc Zero Trust

Uber gần đây đã mô tả một kiến trúc nội bộ để lan truyền danh tính tác nhân (agent identity) xuyên suốt các quy trình làm việc nhiều tác nhân AI (multi-agent AI workflows). Thiết kế này nhằm bảo toàn ngữ cảnh người dùng ban đầu, nguồn gốc của tác nhân (agent provenance) và quyền truy cập có phạm vi (scoped access) trong quá trình các tác nhân ủy quyền công việc và gọi các công cụ nội bộ. Nghiên cứu điển hình của Uber phù hợp với quan điểm của Auth0 cho rằng các tác nhân AI cần mô hình quyền hạn dựa trên thẩm quyền ủy nhiệm, thông tin xác thực có phạm vi và ranh giới phê duyệt rõ ràng của con người thay vì sử dụng tài khoản dịch vụ (service accounts) hay phạm vi OAuth rộng rãi thông thường.

Vấn đề cốt lõi nằm ở chỗ các tác nhân AI không phù hợp hoàn toàn với các mô hình kiểm soát truy cập được xây dựng dành cho người dùng hay các dịch vụ backend. Trong bài viết của mình, Auth0 (thông qua Cameron Pavey) lập luận rằng người dùng thường bị giới hạn bởi các phiên làm việc và giao diện người dùng. Ngược lại, các dịch vụ backend thường mang tính xác định và có thể kiểm toán thông qua các đường dẫn mã tĩnh. Tuy nhiên, các tác nhân AI có thể thực hiện các tác vụ đa bước, gọi công cụ, ủy quyền cho các tác nhân khác và hành động thay mặt người dùng mà không phải mọi hành động đều được người dùng đó lựa chọn trực tiếp. Như Pavey nhận định, "AI agent không thuộc về danh mục nào trong hai loại trên".

Kiến trúc danh tính tác nhân của Uber kết nối đăng ký agent, trao đổi token, thực thi gateway và truy cập hệ thống hạ tầng

Mở rộng kiến trúc Zero Trust cho hệ thống Agentic

Triển khai của Uber là sự mở rộng kiến trúc Zero Trust của họ cho các hệ thống dựa trên tác nhân. Các kỹ sư tại Uber mô tả một kiến trúc bao gồm Agent Registry (Sổ đăng ký tác nhân), AI Agent Mesh, Security Token Service (Dịch vụ Mã thông báo Bảo mật - STS), Model Context Protocol (MCP) Gateway, các hệ thống hạ tầng xuôi (downstream systems) và một AI Gateway/AI Guard. Agent Registry lưu trữ mối quan hệ giữa một tác nhân và khối lượng công việc mà nó được phép lưu trữ. STS xác minh mối quan hệ này và cấp các JSON Web Tokens (JWT) ngắn hạn cho từng bước (hop) trong quy trình làm việc của tác nhân. MCP Gateway sau đó đóng vai trò trung gian điều phối quyền truy cập từ lưới tác nhân đến các hệ thống nội bộ, thực hiện kiểm tra truy cập công cụ và che giấu dữ liệu nhạy cảm nếu cần thiết.

Một lựa chọn thiết kế quan trọng là Uber không dựa vào thông tin xác thực người dùng duy nhất hay một tài khoản dịch vụ dài hạn di chuyển qua quy trình làm việc. Thay vào đó, mỗi tác nhân sử dụng siêu dữ liệu cục bộ, ngữ cảnh đầu vào, đối tượng đích và danh tính khối lượng công việc do SPIRE cấp để yêu cầu mã thông báo mới từ STS. Uber cho biết phương pháp này về mặt khái niệm dựa trên OAuth 2.0 Token Exchange, nhưng được tùy chỉnh để mang theo danh tính và nguồn gốc tác nhân thông qua các yêu cầu kiểm toán và hiệu suất nội bộ. Các mã thông báo được cấp là đơn bước (single-hop) và ngắn hạn, với một yêu cầu (claim) Audience cụ thể và TTL (thời gian sống) cỡ vài phút.

Ví dụ điều tra đa bước của Uber lan truyền các yêu cầu chuỗi hành động qua các cuộc gọi giữa các tác nhân và công cụ

Chuỗi hành động (Actor Chain) và ủy nhiệm đa tầng

Nguồn gốc của tác nhân được ghi lại trong những gì Uber gọi là "actor chain" (chuỗi hành động). Trong ví dụ điều tra đa bước (multi-hop) của Uber, một kỹ sư trực (on-call engineer) có thể yêu cầu một Oncall Agent điều tra một vấn đề. Tác nhân này sau đó có thể ủy nhiệm cho một Investigation Agent trước khi gọi một công cụ nội bộ thông qua MCP Gateway. Mã thông báo được trình bày cho cổng gateway chứa chuỗi những người tham gia, không chỉ là người gọi ngay lập tức. Điều này cho phép các hệ thống hạ tầng đánh giá cả danh tính con người ban đầu và danh tính tác nhân đang hoạt động khi đưa ra quyết định ủy quyền.

Quan điểm của Auth0 bổ sung cho triển khai của Uber bằng cách lập luận về ba mô hình trong kiến trúc tác nhân sản xuất: quyền hạn theo phạm vi năng lực, thông tin xác thực theo phạm vi tác vụ và thực thi phân lớp. Mục tiêu là giới hạn "phạm vi ảnh hưởng" (blast radius) của các lỗi do tác nhân gây ra mà không loại bỏ tính tự chủ khiến các tác nhân trở nên hữu ích. Trong kiến trúc của Uber, các điều khiển tương tự bao gồm trao đổi mã thông báo từng bước, xác định phạm vi đối tượng (audience), xác minh tác nhân dựa trên sổ đăng ký, kiểm tra chính sách gateway và che giấu dữ liệu nhạy cảm khi cần thiết.

Auth0 mô tả mô hình quyền hạn tác nhân nơi các mã thông báo có phạm vi ngắn hạn luân chuyển từ nhà cung cấp danh tính đến thời gian chạy tác nhân và lớp công cụ

Trải nghiệm nhà phát triển và Hiệu năng

Uber cũng làm nổi bật khía cạnh trải nghiệm nhà phát triển trong thiết kế này. Ban đầu, công ty cân nhắc sử dụng một proxy bên ngoài cho các cuộc gọi giữa các tác nhân, nhưng nhận thấy rằng việc bảo toàn ngữ cảnh thực hiện từ đầu đến cuối cần sự hỗ trợ ở tầng ứng dụng. Do đó, Uber đã xây dựng một ứng dụng khách A2A (Agent-to-Agent) chuẩn hóa để tự động hóa việc trao đổi mã thông báo và lan truyền chuỗi hành động. Uber coi đây là trải nghiệm nhà phát triển "an toàn theo mặc định" (secure-by-default), chuyển việc lan truyền danh tính vào đường dẫn ứng dụng khách chuẩn thay vì để mỗi nhóm tác nhân tự triển khai độc lập.

Uber cho biết hệ thống đã được hàng nghìn tác nhân nội bộ áp dụng. Các chỉ số sản xuất của công ty cho thấy độ trễ P99 cho API trao đổi mã thông báo STS vẫn dưới 40 mili-giây. Điều này giải quyết mối lo ngại tiềm ẩn rằng việc trao đổi mã thông báo từng bước có thể thêm quá nhiều chi phí trong các quy trình làm việc liên quan đến nhiều lệnh gọi công cụ và ủy nhiệm. Uber cũng cho biết họ đang theo dõi nhóm làm việc IETF WIMSE và các bản dự thảo liên quan, bao gồm Xác thực và Ủy quyền Tác nhân AI, khi các hoạt động chuẩn hóa xung quanh danh tính khối lượng công việc và tác nhân đang phát triển.

Mô hình này phù hợp với các mối quan tâm được đề cập trong bài viết của InfoQ về việc xây dựng một cổng tác nhân AI có đặc quyền tối thiểu với MCP, OPA và các trình chạy tạm thời, nơi ranh giới cổng đóng vai trò là điểm kiểm soát cho quyền truy cập công cụ, đánh giá chính sách và khả năng kiểm toán. Nghiên cứu điển hình của Uber thêm một ví dụ thực tế về cách ranh giới này có thể được kết hợp với việc lan truyền danh tính tác nhân và ủy nhiệm từng bước. Đối với các kiến trúc sư, bài học rộng lớn hơn là các hệ thống agentic yêu cầu các mô hình truy cập phải bảo toàn ngữ cảnh người dùng ban đầu, danh tính tác nhân và ủy quyền cấp công cụ trên toàn bộ quy trình làm việc, thay vì xử lý các tác nhân như những khách hàng hay dịch vụ thông thường.