Web Bot Auth: Uusi tapa tunnistaa AI-agentit verkossa
Web Bot Auth muuttaa bottien tunnistusta: Hyvästi arvaukset, hei kryptografia
Olemme vuosia luottaneet heppoisiin keinoihin tunnistaa web-botteja. User-Agent-headerit, IP-osoitteet ja reverse DNS -tarkistukset ovat toimineet kohtalaisesti. Mutta ne ovat helppoja huijata. Nyt kun AI-agentit valtaavat verkkoa, vanhat tavat tuntuvat vanhanaikaisilta. Kuten passin vilkaisu taskulampulla biometrian sijaan.
Tulevaisuutta edustaa Web Bot Auth, kokeellinen IETF-protokolla, jota Google testaa aktiivisesti. Se tuo kryptografisen varmuuden bottien todennäköisyyteen.
Miksi vanhat keinot pettävät
Nykyiset bot-tarkistukset nojaavat näihin:
- User-Agent-headerit – muokattavissa sekunneissa
- IP-reputaatiot – epäluotettavia alueiden vaihdellessa
- Reverse DNS – riippuu ulkopuolisista palveluista
- Pyyntökuviot – arvauksia, jotka johtavat vääriin torjuntoihin
Nämä hillitsevät satunnaisia häiriköitä, mutta eivät vakavia hyökkääjiä. Legitiimit AI-agentit blokataan IP-muutoksissa tai header-virheissä – ja support-ticketit kasaantuvat.
Miten Web Bot Auth toimii
Protokolla korvaa arvaukset allekirjoituksilla. Sen sijaan että ihmettelet "näyttääkö tämä Googlelta?", tarkistat "onko Google kryptografisesti allekirjoittanut tämän?".
Agentit allekirjoittavat pyynnöt avaimillaan, ja allekirjoitukset validoidaan itsenäisesti. IP-osoitteet eivät merkitse mitään. Hyödyt ovat selvät:
- Pilvi-agentit vaihtavat IP:tä jatkuvasti – ei enää sallittujen listojen säätöä.
- Huijaaminen on mahdotonta – headerit eivät riitä, vain allekirjoitus kelpaa.
- Täysi näkyvyys – tiedät tarkasti, mitkä agentit käyvät sivustollasi.
Kuten paperi, jossa on oikea allekirjoitus, verrattuna sanalliseen sopimukseen.
Kokeellinen vaihe – älä heitä vanhaa romuun
Web Bot Auth on vielä beta-vaiheessa. Google ei allekirjoita kaikkea liikennettä, ja IETF-spesifikaatio kehittyy. Älä korvaa nykyisiä juttuja tällä.
Tarkista nämä:
- Vain osa Google-liikenteestä on allekirjoitettua.
- Kaikki agentit eivät käytä protokollaa.
- Muutoksia voi tulla palautteen perusteella.
Pidä IP-, DNS- ja User-Agent-tarkistukset voimassa. Web Bot Auth on lisä, ei korvike.
Toteutus käytännössä tänään
Suurilla alustoilla tai CDN:illä (Cloudflare, AWS WAF, Akamai) tuki on usein valmiina. Katso dashboardista asetukset.
Jos teet itse:
1. Hae ja välimuisti public key -setin
Lataa Googlen avaimet osoitteesta https://agent.bot.goog/.well-known/http-message-signatures-directory. Noudata Cache-Control-ohjeita.
2. Etsi Signature-Agent-header
Allekirjoitetuissa pyynnöissä näkyy Signature-Agent headerilla g="https://agent.bot.goog".
3. Validointi RFC 9421:llä
Tarkista Signature-header Signature-Input:ia vasten HTTP Message Signatures -standardilla.
4. Varo vanhenemisaikoja
Allekirjoituksilla ja avaimilla on omat voimassaoloaikansa. Tarkista molemmat.
5. Fallback aina
Ei kaikki pyynnöt ole allekirjoitettuja. Jatka vanhoilla metodeilla.
Vinkki nopeille sivustoille: Vastaa heti ja validointi taustalla. Näin et hidasta liikennettä.
Hyödyt sun infraan
API:t, SaaS tai sisältösivustot hyötyvät:
- Tarkka bottien lajittelu – hyvät erottuvat pahiksista.
- Puhtaampi data – analytiikka ilman feikkejä.
- Vähemmän vääriä torjuntoja – tyytyväisempiä asiakkaita.
- Tulevaisuusvalmius – AI-agentit tarvitsevat tätä.
Verkko muuttuu: koneagentit saavat todistetun identiteetin.
Toimi näin heti
Tarkista palveluntarjoajaltasi – Cloudflare, AWS ym. WAF:ssa Web Bot Auth -tuki?
Kartota nykyiset tarkistuksesi – missä heikkouksia? Miten kryptografia auttaa?
Seuraa IETF:ää – protokolla kehittyy, pysy perässä.
Testaa Google-agentteja – ota yhteyttä heidän tiimiinsä.
Suunnittele päivitys – kolmannen osapuolen työkalut vai oma koodi?
Laajempi näkymä
Web Bot Auth myöntää: bottiliikenne on pysyvä ilmiö. Sen vihkiminen viholliseksi on vanha juttu. Nyt hyvät agentit todistavat itsensä kryptografisesti, ja sivustot päättävät fiksusti.
Kokeellinen tänään, standardi huomenna. Jos mietit bot-strategiaasi, toimi nyt. Handshake-aika loppuu, kryptotodistus alkaa.