24/7 Támogatás
GYIK
 Irányítópult
Fiók Egyenlege:    
A web bot hitelesítés forradalma: Így változik meg az AI-ügynökök azonosítása

A web bot hitelesítés forradalma: Így változik meg az AI-ügynökök azonosítása

Máj 05, 2026 web bot auth bot detection api security cryptography ietf web infrastructure ai agents dns security

Web Bot Auth: Új korszak a webes botok azonosításában

Régebben User-Agent fejlécekre, IP-címekre meg reverse DNS ellenőrzésre bíztuk a botok felismerését. Ez működött, de gyenge lábakon állt. Egy ügyes támadó simán megkerülte. Most, hogy az AI-ügynökök elárasztják a netet, ez a módszer elavultnak tűnik – mintha villanykörte fényénél néznénk személyit biometria helyett.

Megjelent a Web Bot Auth, egy kísérleti IETF-protokoll, amit a Google aktívan tesztel. Ez alapjaiban változtatja meg, hogyan igazoljuk a botok személyazonosságát.

Mi a baj a régi módszerrel?

Nézzük tisztán a jelenlegi helyzetet. A hagyományos ellenőrzés ezekre épül:

  • User-Agent fejlécek – bármikor átírhatók
  • IP-hírnévi rendszerek – hasznosak, de helyfüggők
  • Reverse DNS ellenőrzések – más infrastruktúrától függ
  • Kérésminták – találgatásokra alapulnak, sok a fals pozitív

Ez legtöbbször beválik, de csak reakcióként. Mint egy színjáték a biztonságból: elriasztja a kisstílűeket, de a profikat nem. Ha meg egy tisztességes AI-ügynököt blokkol az IP-változás miatt? Akkor jön a support pokol.

Hogyan működik a Web Bot Auth?

Ez a protokoll kriptográfiai bizonyosságot hoz. Nem kérdezed, hogy "Google-nak tűnik-e", hanem ellenőrzöd: "Google írta-e alá kriptóval?"

A lényeg: az ügynökök kriptokulccsal írják alá a kéréseket, amit bárki ellenőrizhet. Teljesen független az IP-től. Miért nagy deal?

  • Felhős ügynökök IP-je folyton változik. Nincs több whitelist rémálom.
  • Hamisítás lehetetlenné válik. Nem fejlécekre bízod magad, hanem aláírásokra.
  • Átlátható minden. Pont tudod, melyik ügynök járt nálad és mikor.

Ez olyan, mint egy hitelesített szerződés egy sima kézfogás helyett.

Kísérleti státusz – ne ess túlzásba

Lassítsunk egy picit: ez még mindig béta. A Google nem minden kérését írja alá. Az IETF-specifikáció fejlődik. Nem dobd ki a régi cuccot – készülj rá.

Mit jelent ez gyakorlatban?

  • Csak a Google botforgalmának részét írják alá most
  • Nem minden Google-ügynök használja
  • A spec változhat a visszajelzések alapján

Ezért maradnak a régi módszerek. IP, DNS, User-Agent – ezekkel dolgozz tovább. A Web Bot Auth ráépül, nem helyettesít.

Hogyan állítsd be ma?

Ha nagy platformot vagy CDN-t használsz (Cloudflare, AWS WAF, Akamai), a szolgáltatód valószínűleg már kezeli automatikusan. Nézd meg a biztonsági dashboardot – ott van a kapcsoló.

Saját ellenőrzésnél ezek a lépések:

1. Töltsd le a publikus kulcsokat

Kérd le a Google kulcsait innen: https://agent.bot.goog/.well-known/http-message-signatures-directory. Cache-eld a Cache-Control szerint. Ez a hiteles forrás.

2. Nézd meg a Signature-Agent fejlécet

A aláírt kérésekben ott van: Signature-Agent fejléccel g="https://agent.bot.goog". Ez jelzi, hogy van kripto-aláírás.

3. Ellenőrizd RFC 9421 szerint

Használd a HTTP Message Signatures szabványt a Signature és Signature-Input fejléc ellenőrzésére. Itt dől el, hogy valódi-e.

4. Figyelj a lejáratokra

Az aláírások lejárnak, a kulcsok is. Külön-külön validáld őket.

5. Mindig legyen fallback

Nem minden kérés aláírt. Folytasd az IP, DNS, User-Agent ellenőrzést. Ez kiegészítés, nem csere.

Trükk latency-érzékeny appokhoz: add ki a választ rögtön, validáld async-ban. Így nem lassít be semmi.

Miért fontos neked?

API-kat, SaaS-eket vagy tartalomoldalaknál ez megoldja a gondokat:

  • Pontos bot-kategorizálás – nem kevered a jókat a rossz scraperekkel
  • Tiszta adatok – analitikádban igazi ügynök-viselkedés látszik
  • Kevesebb fals blokk – boldogabb API-ügyfelek
  • Jövőbiztosítás – az AI-ügynökök kora jön, a kripto szabvánnyá válik

A weben a gépek elsőrangú polgárok lesznek, bizonyítható identitással. A Web Bot Auth erre épül.

Mit tegyél most?

  1. Nézd meg a szolgáltatódnál – Cloudflare, AWS? Kérdezz rá a WAF-beállításokban.

  2. Audittal a jelenlegit – Írd le, hogyan ismered fel most a botokat. Hol lyukak? Hol segítene a kripto?

  3. Kövesd az IETF munkacsoportot – Fejlődik még, légy naprakész.

  4. Teszteld Google-lal – Érdeklődj náluk, próbáld ki. Korai tapasztalat aranyat ér.

  5. Tervezd meg – Harmadik féltől vagy sajátban, rajzolj fel térképet.

A nagy kép

A Web Bot Auth jelzi: a botforgalom marad, ne kezeld ellenségnek. Inkább építsünk olyan webet, ahol a jó ügynökök kriptóval bizonyítanak, és te döntesz okosan.

Most kísérlet. Holnap szabvány. Utána infrastruktúra. Ha bot-ellenőrzést tervezel, lépj előre.

A kézfogás kora véget ér. Kripto-igazolás jön.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB NL IT FR ES DE DA ZH-HANS EN