Tuki 24/7
UKK
 Kojelauta
Tilin saldo:    
AI-agenttien puuttuva palanen: Näin /.well-known/agent-policy.json mullistaa web-automaation

AI-agenttien puuttuva palanen: Näin /.well-known/agent-policy.json mullistaa web-automaation

Tou 01, 2026 ai agents web standards dns policy automation api security developer tools well-known rfc proposals

AI-agenttien rekisteröitymisongelma, josta kukaan ei puhu

Olet varmaan kuullut robots.txt:stä. Se on ohjannut verkkohinnoittelijoita sallituille alueille jo vuodesta 1994. Tunnet ehkä myös llms.txt:n AI-mallien ohjeisiin tai .well-known/security.txt:n haavoittavuusilmoituksiin. Mutta yksi iso puute on: mikään standardi ei kerro sivustolle, miten AI-agentti voi luoda tilin käyttäjän puolesta – ja millä ehdoilla.

Tämä aukko on iso juttu. Vuonna 2026 AI-agentit eivät vain lue sivuja. Ne toimivat käyttäjien sijaisia: täyttävät lomakkeita, rekisteröityvät, kokeilevat API:ta ja käynnistävät ilmaiskokeilut. Palvelimelle tämä näyttää samalta kuin roskapostiautomaatio. Ei ihme, että sekä sivustot että agenttien kehittäjät ovat hukassa.

Miksi vanhat standardit eivät riitä

Nykyiset webin "sääntödateja" ovat sirpaleisia.

  • robots.txt ohjaa hakukoneiden indeksointia.
  • llms.txt antaa kontekstia AI-malleille.
  • Sitemaps listaa indeksoitavat sivut.
  • OpenAPI ja MCP avaavat rajapintoja.
  • security.txt ohjaa tietoturva-ilmoituksia.

Yksikään ei kata tilien luomista. Ja se on kriittinen heikkous, sillä rekisteröityminen ei ole pelkkää selaamista. Agentti kun:

  • Muuttaa palvelun pysyvää tietoa.
  • Laukaisee rajoituksia tai väärinkäyttöhälytyksiä.
  • Sekottaa rekisteröitymisanalytiikkasi.
  • Sitoutuu palvelun ehtoihin.
  • Voi aiheuttaa odottamattomia systeemin reaktioita.

Yksinkertainen "salli/kiellä" ei riitä. Panokset ovat isot, ja tilanteet moninaisia.

Esittelyssä: Agent Policy Manifest

Uusi kokeellinen ehdotus, /.well-known/agent-policy.json, korjaa tilanteen. Se on koneellisesti luettava tiedosto, joka määrittelee tarkat luvat AI-agenttien toiminnalle.

Avain ei ole mustavalkoinen salliminen. Kyse on lupatasoista.

Tiedosto vastaa kysymyksiin kuten:

  • Mitä agentit saavat tehdä julkisilla sivuilla? (Lukea, seurata linkkejä, tarkistaa hintoja.)
  • Mitä vaatii API-pääsy? (Testiympäristöt, dokumentoidut agenttivirrastot.)
  • Millä ehdoilla delegated signup? (Varmistettu käyttäjän tahto, avoin identiteetti, lokit.)
  • Missä agentin pitää pysähtyä? (Maksu, feikki-identiteetti, vakavat ehdot.)

Lupatasot käytännössä

Oletpa SaaS-yrityksen pyörittäjä. Agent-policy.json voisi määritellä näin:

Julkinen selaus: Aina päällä. Agentit lukevat dokumentaatiota, hintoja ja ominaisuuksia.

Automatisoidut toimet: Vain virallisen API:n tai sandboxin kautta.

Käyttäjän delegoima rekisteröityminen: Ehdotuksella. Ilmaistili ok, jos:

  • Käyttäjän aikomus on varmennettu (ei automaattia).
  • Agentin identiteetti on selvä (ei ihmisnaamiointia).
  • Sähköposti on jäljitettävä, kuten käyttäjä+agent-domaani@esimerkki.fi.
  • Pidät näkyvän lokin käyttäjälle.
  • Agentti pysähtyy ennen maksua tai bisnesehtoja.

Tärkeää: erotetaan rutiinivalinnat (kuten tietosuojasääntöjen hyväksyntä) vakavista vastuuehdoista (lakivelvoitteet, maksut). Jälkimmäiset vaativat ihmisen vahvistuksen.

Ehdotuksen rakenne

Aito agent-policy.json alkaa metadatalla (versio, domain, voimassaolo). Sitten osiot, kuten account_creation.

Siellä määritellään:

  • Oletustila (jos tiedosto puuttuu).
  • Saatavat tasot ja ehdot.
  • Ehtojen hyväksynnän lokitus.
  • Pakolliset pysäytykset.

Pysäytykset kattavat mm.:

  • Captcha-haasteet.
  • Automaattikielto-ehdot.
  • Feikki-identiteetit.
  • Maksut.
  • Puhelinvahvistukset.
  • Julkiset postaukset.
  • Vastuuehdot.
  • Tuntemattomat termit.

Agentti keskeyttää ja siirtää ihmiselle.

Mitä agenttien pitää tehdä

Ehdotus ohjeistaa agentteja näin:

Tiedostoa ei löydy? Vain julkinen selaus. Ei rekisteröitymisiä.

Salliva tiedosto? Toimi rajoissa, loggaa URL ja käyttäjä.

Rutiinivalinta? Ok, jos policy sallii ja logitat.

Vakavat ehdot? Pysähdys heti. Ei agentin puolesta vastuita.

Hyödyt kehittäjille

Agenttien rakentajille tämä on kompassi. Unohda räätälöinti per sivusto:

  • Tarkista manifest ensin.
  • Tunnista tasot yhtenäisesti.
  • Käytä varmat oletukset.
  • Luo luotettavat lokit.

Sivuston ylläpitäjille kontrollia:

  • Kannusta agentteja turvallisesti.
  • Eri säännöt eri käyttäjille.
  • Lokit vaatimusten täyttöön.
  • Selkeät rajat.

Käyttäjät saavat läpinäkyvyyttä: näet, mitä agenttisi tekee, ja omistat lokin.

Kokeellinen vaihe ja seuraavat askeleet

Kyseessä on luonnos wkdomains.com-sivustolta. Keskusteluun kutsutaan domain-omistajia, bottikehittäjiä, standardiväkeä ja agenttien tekijöitä. Se on kokeellinen – muuttuu tarpeen tullen.

Voimassa vuoteen 2026 asti, jotta iterointi nopeutuu ennen jäykkää standardia.

Laajempi näkökulma

Olemme käännekohdassa. AI-agentit ovat nyt käyttäjien sijaisia, eivät pelkkiä lukijoita. Webin lupa-järjestelmä ei ole valmis. robots.txt riittää hakukoneille, joissa motiivit ovat selkeät: näkyvyys vastineeksi indeksoinnista.

Mutta tilien luonti? Motiivit monimutkaisempia. Sivustot haluavat turvaa, käyttäjät avoimuutta, agentit rajoja. agent-policy.json ei ratkaise kaikkea, mutta antaa yhteisen kielen.

Jos sivustosi sallii agenttiavusteista rekisteröitymistä, harkitse policyä. Agenttien tekijät: tarkista se. Standardien ystävät: osallistu keskusteluun.

Vaihtoehto? Arvaile. Älykkäiden agenttien aikana arvaus ei riitä.

Read in other languages:

RU BG EL CS UZ TR SV RO PT PL NB NL HU IT FR ES DE DA ZH-HANS EN