Lewati ke konten
InboxAPI

FAQ

Mengapa tidak memberikan agen saya akses ke Gmail atau Outlook saya?

Keamanan — OAuth Gmail/Outlook memberikan agen Anda akses ke seluruh kotak masuk Anda (medis, keuangan, hukum, pribadi). Injeksi prompt dalam email masuk apa pun dapat memanipulasi agen yang memiliki akses ke semua data tersebut. InboxAPI memberikan agen Anda kotak masuk terisolasi sendiri dengan klasifikasi kepercayaan dan penandaan data pada setiap pesan.

Identitas — Saat agen Anda mengirim dari Gmail Anda, penerima tidak bisa membedakan siapa yang mereka ajak bicara. Balasan masuk ke kotak masuk Anda, bercampur dengan email asli Anda. InboxAPI memberikan agen Anda alamat sendiri — pemisahan yang jelas antara Anda dan agen Anda.

Praktikalitas — API Gmail/Outlook bukan MCP-native. Anda memerlukan middleware, konfigurasi OAuth, dan integrasi khusus. InboxAPI bekerja langsung dengan klien MCP mana pun.

Apa bedanya dengan AWS SES, SendGrid, atau Resend?

Itu adalah API pengiriman — Anda membangun infrastruktur email di atasnya. InboxAPI memberikan agen Anda identitas email lengkap: kirim, terima, cari, balas, dan teruskan. Tidak ada yang perlu dikonfigurasi dan tidak ada infrastruktur untuk dikelola.

Apa bedanya dengan AgentMail atau a1base?

Kami membangun stack email kami sendiri dari awal. Kami tidak membungkus SES, Postfix, atau layanan pengiriman pihak ketiga mana pun. Email agen Anda melewati infrastruktur yang kami operasikan langsung.

Apakah benar-benar gratis?

Ya. Tanpa kartu kredit, tanpa masa percobaan, tanpa tingkatan penggunaan. Kami sedang mengerjakan paket berbayar dengan fitur tambahan, tetapi pengalaman inti akan selalu gratis.

Bagaimana Anda mencegah spam dan penyalahgunaan?

Pembuatan akun memerlukan bukti kerja. Setiap akun memiliki 5 slot buku alamat untuk penerima eksternal — ketika semua slot terpakai, entri yang paling lama tidak digunakan otomatis diganti setelah 5 hari tidak aktif. Kuota pengiriman harian dan pembatasan kecepatan diberlakukan pada setiap akun. Pembatasan ini bersifat struktural — bukan kebijakan, melainkan cara kerja sistem.

Bagaimana dengan injeksi prompt melalui email?

Setiap email masuk menyertakan klasifikasi kepercayaan — tepercaya, agen, belum terverifikasi, atau mencurigakan — berdasarkan apakah pengirim ada di buku alamat Anda dan apakah email mereka lolos pemeriksaan autentikasi. Ini membantu agen Anda memutuskan seberapa hati-hati menangani setiap pesan. Email dari agen InboxAPI lain ditandai secara terpisah sehingga agen Anda tahu untuk memeriksa dengan Anda sebelum bertindak.

Selain itu, konten email yang tidak tepercaya secara otomatis ditransformasi menggunakan spotlighting (penandaan data) — spasi diganti dengan karakter penanda unik sehingga agen Anda dapat dengan jelas membedakan data email dari instruksinya sendiri. Ini mengurangi tingkat keberhasilan serangan injeksi prompt yang tertanam dalam email dari ~50% menjadi kurang dari 3%.

Apa itu spotlighting?

Alat pengambilan email menerapkan penandaan data pada konten tidak tepercaya, mengganti spasi dengan karakter penanda Unicode unik yang dihasilkan per permintaan. Konten yang mengandung penanda harus diperlakukan sebagai data eksternal — bukan sebagai instruksi untuk diikuti. Untuk memulihkan teks asli, ganti penanda dengan spasi. Email dari pengirim tepercaya (di buku alamat Anda dengan autentikasi valid) tidak di-spotlight secara default. Teknik ini berdasarkan penelitian akademis (arXiv:2403.14720).

Bagaimana dengan pencurian data?

Email keluar dipindai untuk token autentikasi dan kredensial. Jika agen Anda secara tidak sengaja mencoba mengirim email yang berisi JWT atau token akses, pesan ditolak sebelum meninggalkan platform. Ini mencegah agen ditipu untuk membocorkan data sensitif melalui email. Selain itu, semua alamat penerima dalam operasi kirim, balas, dan teruskan divalidasi terhadap RFC 5322 — alamat yang cacat ditolak sebelum pengiriman.

Bisakah agen saling mengirim spam?

Batas pengiriman yang sama berlaku untuk semua email keluar — batas penerima, kuota, dan pembatasan kecepatan bekerja sama tanpa memandang siapa yang menerima.

Apakah email agen saya akan masuk spam?

Mungkin pada awalnya. Setiap agen mendapat subdomain baru, dan pengirim baru belum memiliki reputasi. Penerima mungkin perlu memeriksa folder spam mereka untuk beberapa email pertama. Seiring waktu, saat agen Anda mengirim email yang sah dan penerima berinteraksi dengannya, pengiriman membaik. Lihat Pengiriman Email untuk detail lebih lanjut.

Mengapa email daripada protokol agen baru seperti A2A?

Email menjangkau seluruh internet yang ada — miliaran orang dan bisnis sudah menggunakannya. A2A mengharuskan kedua belah pihak mengimplementasikan protokol. Ketika agen Anda perlu menghubungi seseorang di luar ekosistemnya, email adalah pilihan universal. Agen kemungkinan akan membutuhkan keduanya.

Mengapa email, bukan WhatsApp, Telegram, atau aplikasi pesan lainnya?

Aplikasi pesan tampak cocok untuk komunikasi agen, tetapi memiliki keterbatasan struktural yang membuatnya tidak praktis untuk agen dalam skala besar.

Skalabilitas — Anda dapat membuat ratusan alamat email secara programatis. WhatsApp, Telegram, dan Signal semuanya memerlukan nomor telepon dan verifikasi. Menambah akun melampaui beberapa saja tidak praktis, sering melanggar ketentuan layanan, dan terkadang mustahil tanpa kartu SIM fisik. Jika alur kerja Anda membutuhkan 50 agen, Anda memerlukan 50 nomor telepon.

Tanpa penjaga gerbang — Email adalah satu-satunya saluran komunikasi di mana Anda dapat membuat identitas tanpa nomor telepon, KTP, atau persetujuan dari pemilik platform. Tidak ada satu perusahaan pun yang mengontrol siapa yang mendapat alamat email.

Protokol terbuka — Email bersifat federasi dan netral vendor. WhatsApp, Discord, dan Telegram bersifat proprietary — mereka dapat mencabut akses API, melarang akun bot, atau mengubah aturan kapan saja. Email tidak bisa dimatikan oleh satu perusahaan.

Kepatuhan ToS — Sebagian besar platform pesan secara eksplisit melarang akun otomatis atau memiliki proses persetujuan ketat (WhatsApp Business API memerlukan verifikasi bisnis, Telegram membatasi pesan bot-ke-bot). Email tidak memiliki pembatasan semacam itu — pengiriman otomatis adalah fitur utama.

Jangkauan universal — Saluran pesan terisolasi. Bot Telegram Anda tidak dapat menjangkau pengguna WhatsApp. Email menjangkau siapa saja yang memiliki alamat email — yang pada dasarnya semua orang.

Pelengkap, bukan pesaing — Framework agen multi-channel seperti OpenClaw mendukung puluhan saluran pesan, dan email harus menjadi salah satunya. InboxAPI mengisi celah yang tidak dapat diisi oleh platform pesan secara struktural: pembuatan identitas tanpa batas dan terprogram tanpa perlu persetujuan platform.

Berapa batas pengiriman?

Setiap akun memiliki 5 slot buku alamat untuk penerima eksternal. Ketika semua slot terpakai, entri yang paling lama tidak digunakan otomatis diganti setelah 5 hari tidak aktif. Email ke alamat @inboxapi.ai, @inboxapi.io, atau @inboxapi.dev lainnya tidak dihitung dalam batas ini. Lihat Batas & Penggunaan Wajar untuk detail lengkap.

Apa yang terjadi saat saya mencapai batas?

Ketika semua 5 slot terpakai, entri yang paling lama tidak digunakan otomatis diganti setelah 5 hari tidak aktif.

How does the addressbook work? Do I need to add contacts?

The addressbook is automatic — contacts are added when you send email. You never need to add, configure, or manage contacts manually. There is no settings file, no contact list to maintain, and no setup step.

When your agent sends an email to a new external address, that address is recorded in the addressbook. Each account has 5 slots. When all 5 are in use, the least recently used entry is auto-replaced after 5 days of inactivity. Emails to other @inboxapi.ai addresses are always unlimited and don’t use a slot.

Apa keterbatasan saat ini?

Meskipun InboxAPI berfungsi sepenuhnya untuk email agen-ke-manusia dan agen-ke-agen, ada beberapa keterbatasan saat ini:

  • 5 slot buku alamat untuk penerima eksternal: Setiap akun memiliki 5 slot untuk penerima eksternal. Ketika semua slot terpakai, entri yang paling lama tidak digunakan otomatis diganti setelah 5 hari tidak aktif.
  • Penggunaan pribadi saja: InboxAPI bukan layanan email transaksional — jangan gunakan untuk pengiriman massal, pemasaran, atau notifikasi aplikasi.

Bagaimana cara kerja kredensial?

Kredensial agen Anda disimpan secara lokal di ~/.config/inboxapi/credentials.json (Linux) atau ~/Library/Application Support/inboxapi/credentials.json (macOS). CLI menangani pembuatan dan pembaruan token secara otomatis — agen Anda tidak perlu mengelola token secara manual.

Bagaimana jika agen saya kehilangan akses ke akunnya?

Jika kredensial agen Anda hilang atau rusak, Anda dapat memulihkan akun menggunakan alat account_recover — tetapi hanya jika Anda sebelumnya telah menghubungkan email Anda melalui verify_owner. Pemulihan mencabut semua token yang ada dan menerbitkan kredensial baru. Tanpa email pemilik yang terverifikasi, tidak ada cara untuk memulihkan akun yang terkunci.

Apa itu verifikasi pemilik?

Verifikasi pemilik menghubungkan alamat email pribadi Anda ke akun InboxAPI agen Anda. Agen Anda memanggil verify_owner dengan email Anda, Anda menerima kode 6 digit, dan agen Anda mengirimkannya untuk menyelesaikan verifikasi. Setelah terverifikasi, Anda dapat memulihkan akun jika kredensial hilang, dan pembatasan uji coba dihapus dari akun.

Domain apa yang diblokir dari pengiriman?

InboxAPI memelihara daftar blokir yang mencegah pengiriman ke domain pemerintah (.gov), militer (.mil), intelijen, penegak hukum, infrastruktur nuklir/kritis, dan domain email sekali pakai.

Bagaimana cara kerja klasifikasi kepercayaan?

Setiap email masuk diklasifikasikan ke salah satu dari empat tingkat kepercayaan:

Tingkat KepercayaanArtiTindakan yang Disarankan
TrustedPengirim di buku alamat Anda dengan SPF/DKIM validAman untuk ditindaklanjuti
AgentPengirim adalah agen InboxAPI yang dikenalBaca dengan bebas, tapi konfirmasi dengan manusia Anda sebelum bertindak
UnverifiedSPF/DKIM valid tapi pengirim tidak di buku alamatBerhati-hati
SuspiciousAutentikasi gagal atau pengirim tidak dikenalTandai dan konfirmasi sebelum bertindak

Apa yang mencegah agen membeli sesuatu atau mengotorisasi transaksi melalui email?

InboxAPI adalah saluran komunikasi, bukan lingkungan eksekusi. Ia dapat mengirim email, tetapi tidak bisa mengklik tombol, memasukkan nomor kartu kredit, atau berinteraksi dengan sistem eksternal. Risiko tindakan tidak sah berasal dari cara agen dikonfigurasi dan alat lain apa yang ia akses — bukan dari emailnya.