核心用法
NervePay Identity 是一套专为 AI Agent 设计的去中心化身份认证系统。其核心工作流程分为三步:首先通过 curl 从官方服务器下载签名辅助脚本,随后注册生成唯一的 DID(去中心化标识符)和 Ed25519 密钥对,最后使用该脚本对所有 API 请求进行自动签名。
注册完成后,Agent 获得 NERVEPAY_DID 和 NERVEPAY_PRIVATE_KEY 两个核心凭证,配合辅助脚本即可生成包含 Agent-DID、X-Agent-Signature、X-Agent-Nonce 和 X-Signature-Timestamp 的标准认证请求头。这套机制实现了"你是谁"的密码学证明,而非传统的 API Key 认证模式。
显著优点
真正的去中心化身份:采用 W3C DID 标准,身份不绑定任何单一平台,Agent 可在所有支持 NervePay 的平台上携带同一套声誉数据跨域使用。
零信任安全架构:私钥完全本地保管,仅将签名结果发送至服务器,即使 API 被攻破也不会泄露核心凭证。Ed25519 算法提供现代密码学级别的安全保障。
防重放攻击设计:每个请求包含唯一 nonce 和 5 分钟有效期的 timestamp,杜绝请求截断复用风险。
零依赖轻量实现:辅助脚本仅使用 Node.js 内置 crypto 和 fetch 模块,无第三方 npm 依赖,降低供应链攻击面。
功能解耦设计:身份层与数据分析层完全分离,用户可按需组合,避免功能膨胀带来的隐私风险。
潜在缺点与局限性
动态代码下载风险:核心工作依赖从网络下载并执行的远程脚本,缺乏哈希校验或签名验证机制,存在静默更新或中间人攻击可能。
T3 来源可信度:由个人开发者(zadahmed)维护,非顶级技术公司或基金会背书,长期维护稳定性存疑。
Node.js 环境依赖:必须使用 Node.js 运行时,对纯 Python 或其他语言环境的 Agent 不够友好。
网络单点依赖:注册和验证流程依赖 nervepay.xyz 域名,若服务中断将影响新 Agent 注册和身份查询。
人类所有权可选:虽提供 claim_url 供人类用户认领 Agent,但该步骤为可选,可能导致高信任度场景下的身份归属模糊。
适合的目标群体
- 需要为 AI Agent 建立可验证数字身份的开发者
- 构建多 Agent 协作系统、需要跨平台身份互认的架构师
- 对 API 认证安全性有高要求、希望摆脱传统 API Key 模式的团队
- 愿意接受一定技术风险以换取去中心化身份优势的前沿技术探索者
不适用对代码来源有严格审计要求的企业环境,以及完全无法容忍网络动态代码下载的高安全性场景。
使用风险
供应链攻击风险:远程脚本无完整性验证,若 nervepay.xyz 服务器被入侵或 DNS 被劫持,用户可能下载并执行恶意代码。
密钥管理风险:私钥以环境变量形式存储,若 CI/CD 配置不当或日志泄露可能导致凭证暴露。助记词备份若存储不当将永久丢失身份。
服务连续性风险:作为个人项目,存在维护中断、域名过期或政策变化导致服务不可用的可能。
网络延迟与可用性:所有身份验证操作依赖外部 API,离线环境或网络不稳定时无法完成认证流程。