피드로 돌아가기
Hacker NewsSecurity
원문 읽기
Stateless HMAC 기반 Reverse CAPTCHA를 통한 AI Agent 전용 인증 시스템
Captcha proves you're human. HATCHA proves you're not
AI 요약
Context
인간의 접근을 제한하고 AI Agent만 허용해야 하는 역발상적 인증 요구사항 발생. 기존 CAPTCHA의 정방향 로직으로는 AI Agent를 선별적으로 허용하는 메커니즘 구현에 한계 존재.
Technical Solution
- HMAC-signed token을 활용한 Stateless 아키텍처 설계로 데이터베이스 의존성 제거
- 서버 사이드 검증 로직 적용을 통한 정답 데이터의 클라이언트 노출 원천 차단
- Opaque Token 내 Hash 값과 Expiry 정보를 포함하여 무결성 및 유효 시간 검증
- 런타임 커스텀 Challenge Generator 등록 구조를 통한 확장성 확보
- Next.js 및 Express 전용 미들웨어 제공으로 인프라 통합 비용 최소화
- AI에게는 용이하나 인간에게는 고난도인 5가지 Computational Heuristic 챌린지 세트 구성
실천 포인트
- 상태 저장 없이 인증을 처리해야 하는 경우 HMAC 기반의 Signed Token 도입 검토 - 클라이언트에 절대 노출되어서는 안 되는 검증 데이터는 서버 사이드 Hash 비교 방식으로 구현 - 특정 사용자 그룹(AI Agent 등)만 허용하는 Gatekeeping 설계 시 Reverse Challenge 패턴 적용 고려