[प्रकट प्रोटोकॉल 1] AI Ready के मुख्य संचार प्रोटोकॉल को नष्ट करना: एपीआई पेलोड और वेबहुक सुरक्षा सत्यापन

सीधा उत्तर: AI Ready प्रोटोकॉल को AI क्षमताओं को "प्रॉम्प्ट" से प्रबंधनीय एपीआई घटनाओं तक बढ़ाना चाहिए। प्रत्येक अनुरोध में आशय, स्रोत, संदर्भ, डेटा, बाधाएं और निष्क्रियता कुंजी शामिल होनी चाहिए; वेबहुक में टाइमस्टैम्प, नॉनस, हस्ताक्षर और रीप्ले सुरक्षा होनी चाहिए।

यह लेख किन लोगों के लिए है?#

• ई-कॉमर्स सिस्टम कोर डेवलपमेंट इंजीनियर।
• एआई टास्क एपीआई डिजाइन करने के लिए बैकएंड और आर्किटेक्ट की आवश्यकता है।
• वेबहुक सुरक्षा, पुनः प्रयास और ऑडिटिंग के लिए जिम्मेदार तकनीकी टीम।

AI कार्यों के लिए संचार प्रोटोकॉल की आवश्यकता क्यों होती है?#

यदि प्रत्येक प्लग-इन मॉडल पर संकेत देता है, तो सिस्टम के लिए निम्नलिखित प्रश्नों का उत्तर देना कठिन होगा:

• इस मिशन को किसने शुरू किया?

• AI कौन सी जानकारी पढ़ सकता है?

• क्या AI वापस लिख सकता है?

• कार्य के लिए कौन सी भाषा और स्टोर का उपयोग किया जाता है?

• सांकेतिक बजट क्या है?

• क्या असफलता के बाद दोबारा प्रयास करना संभव है?

• क्या डुप्लिकेट वेबहुक डुप्लिकेट संचालन का कारण बनेगा?

AI Ready प्रोटोकॉल का उद्देश्य इस प्रबंधन जानकारी को प्रोग्राम कोड और प्रॉम्प्ट में बिखरने के बजाय हर कार्य में लगाना है।

पेलोड की बुनियादी संरचना का अनुरोध करें#

{
  "event_id": "evt_20260415_001",
  "idempotency_key": "product-copy-1288-zhTW-v3",
  "intent": "generate_product_copy",
  "source": {
    "platform": "woocommerce",
    "store_id": "tw-store",
    "site_url": "https://example.com"
  },
  "context": {
    "locale": "zh-TW",
    "currency": "TWD",
    "actor": {
      "type": "admin",
      "id": "42"
    },
    "permissions": ["product:read", "draft:write"]
  },
  "data": {
    "product": {
      "sku": "BAG-18L-NAVY",
      "name": "18L 防潑水通勤背包",
      "attributes": {
        "capacity": "18L",
        "material": "recycled polyester"
      }
    }
  },
  "constraints": {
    "write_mode": "draft_only",
    "max_tokens": 1200,
    "do_not_change": ["sku", "price", "stock_quantity"]
  }
}

प्रत्येक फ़ील्ड का स्पष्ट अर्थ होना चाहिए:

• event_id: इवेंट की विशिष्ट पहचान।
• idempotency_key: पुनः प्रयास के कारण बार-बार होने वाले संचालन से बचें।
• इरादा: कार्य प्रकार।
• स्रोत: स्रोत प्लेटफ़ॉर्म और स्टोर।
• संदर्भ: भाषा, मुद्रा, ऑपरेटर और अनुमतियाँ।
• डेटा: कार्य के लिए आवश्यक डेटा।
• बाधाएं: मॉडल और राइटबैक प्रतिबंध।

प्रतिक्रिया पेलोड बुनियादी संरचना#

{
  "event_id": "evt_20260415_001",
  "status": "completed",
  "result": {
    "draft_short_description": "適合日常通勤的 18L 防潑水背包。",
    "meta_description": "18L 防潑水通勤背包，適合筆電收納與城市移動。"
  },
  "validation": {
    "schema_valid": true,
    "requires_review": true
  },
  "usage": {
    "model": "provider-model-name",
    "input_tokens": 680,
    "output_tokens": 220
  }
}

प्रतिक्रिया में न केवल पाठ शामिल होना चाहिए, बल्कि सत्यापन स्थिति, समीक्षा आवश्यकताएँ और टोकन उपयोग भी शामिल होना चाहिए।

वेबहुक हस्ताक्षर डिजाइन#

सुझाया गया शीर्षलेख:

X-AI-Ready-Timestamp: 1776268800
X-AI-Ready-Nonce: 4a8f7c...
X-AI-Ready-Signature: sha256=...
X-AI-Ready-Event-Id: evt_20260415_001
Idempotency-Key: product-copy-1288-zhTW-v3

हस्ताक्षर सामग्री विहित स्ट्रिंग का उपयोग कर सकती है:

{timestamp}.{nonce}.{raw_body}

फिर साझा कुंजी के साथ HMAC SHA-256 करें। प्राप्तकर्ता का अंत होना चाहिए:

1. जांचें कि क्या टाइमस्टैम्प अनुमत समय विंडो के भीतर है।
2. जांचें कि क्या नॉन का उपयोग किया गया है।
3. हस्ताक्षर की पुनर्गणना करने के लिए कच्चे भाग का उपयोग करें।
4. ईवेंट आईडी और इडेम्पोटेंसी कुंजी की जाँच करें।
5. प्रसंस्करण स्थिति सहेजें.

HTTP स्थिति कोड और पुनः प्रयास#

• 200 / 204: सफलतापूर्वक संसाधित या पहले से ही संसाधित।
• 400: पेलोड प्रारूप गलत है और इसे पुनः प्रयास नहीं किया जाना चाहिए।
• 401 / 403: हस्ताक्षर या अनुमति त्रुटि, सेटिंग्स ठीक होने तक पुनः प्रयास नहीं किया जाना चाहिए।
• 409: निष्क्रियता संघर्ष, मैन्युअल निरीक्षण आवश्यक है।
• 422: स्कीमा सत्यापन विफल रहा और इसे स्वचालित रूप से वापस नहीं लिखा जाना चाहिए।
• 429: दर सीमित, पुनः प्रयास में देरी हो सकती है।
• 500 / 503: अस्थायी त्रुटि, आप पुनः प्रयास कर सकते हैं।

अक्सर पूछे जाने वाले प्रश्न#

क्या HMAC हस्ताक्षर पर्याप्त सुरक्षित है?#

एचएमएसी एक महत्वपूर्ण आधार है, लेकिन टाइमस्टैम्प, नॉन्स, इडेम्पोटेंसी, कुंजी रोटेशन, टीएलएस, कम से कम विशेषाधिकार और लॉगिंग की भी आवश्यकता है। केवल हस्ताक्षर करने से पुनः प्रसारण और बार-बार निष्पादन को रोका नहीं जा सकता।

क्या वेबहुक उत्पादों या ऑर्डरों को सीधे संशोधित कर सकता है?#

उच्च जोखिम वाले डेटा को सीधे संशोधित करने की अनुशंसा नहीं की जाती है। वेबहुक को पहले ड्राफ्ट, समीक्षा कतार, या कम जोखिम वाले क्षेत्रों में लिखा जाना चाहिए। मूल्य परिवर्तन, रिफंड और कूपन जारी करने जैसे कार्यों के लिए अतिरिक्त अनुमोदन की आवश्यकता होती है।

मुझे इडेम्पोटेंसी कुंजी की आवश्यकता क्यों है?#

वेबहुक या पृष्ठभूमि कार्य का पुनः प्रयास किया जा सकता है। निष्क्रियता कुंजी के बिना, सिस्टम बार-बार ईमेल भेज सकता है, बार-बार डिस्काउंट कोड बना सकता है, या सामग्री को बार-बार लिख सकता है।

सन्दर्भ#

• OWASP वेबहुक सुरक्षा दिशानिर्देश, https://cheatSheetseries.owasp.org/
• वर्डप्रेस रेस्ट एपीआई हैंडबुक, https://developer.wordpress.org/rest-api/
• एडोब कॉमर्स वेब एपीआई, https://developer.adobe.com/commerce/webapi/