Web Bot Auth: Nye måter å stole på AI-boter på nettet

Vi har lenge lent oss på svake metoder for å sjekke bot-er. User-Agent-strenger. IP-adresser. Omvendte DNS-sjekker. Det holder for det meste, men smarte angripere lurer det lett. Nå med AI-agenter overalt på weben, føles det utdatert. Som å sjekke legitimasjon med lommelykt i stedet for fingeravtrykk.

Her kommer Web Bot Auth, et eksperimentelt IETF-protokoll som Google tester aktivt. Det endrer helt hvordan vi verifiserer bot-er.

Hvorfor gamle metoder svikter

La oss være ærlige først. Tradisjonell bot-sjekk baserer seg på:

• User-Agent headers – enkle å fake
• IP-reputasjon – bra, men ustabilt over landegrenser
• Reverse DNS – krever kontroll du ofte mangler
• Forespørselsmønstre – gjetninger som feilblokkerer

Det fungerer ofte nok, men det er reaktivt. Som falsk sikkerhet – det skremmer bort slappe brukere, ikke proffer. Og når ekte AI-agenter blokkeres på grunn av IP-skift? Da ringer kundene.

Slik fungerer Web Bot Auth

Protokollen gir kryptografisk bevis. I stedet for å gjette "er dette fra Google?", sjekker du "er dette signert av Google?".

Agenter signerer forespørsler med private nøkler. Signaturene valideres uavhengig. Identitet kobles løs fra IP-adresser. Fordelene?

• Skybaserte agenter skifter IP hele tiden. Slutt på whitelist-kaos.
• Falskneri blir umulig. Signaturer slår headers.
• Full innsikt. Du ser nøyaktig hvem som banker på døra.

Som en signert avtale mot et håndtrykk.

Realiteten: Det er fortsatt et eksperiment

Bremse litt: Web Bot Auth er ikke klart ennå. Google signerer ikke alt. IETF-specen endres. Ikke dropp alt nå – forbered deg.

Praktisk sett:

• Bare delvis Google-trafikk er signert
• Ikke alle agenter bruker det
• Endringer kommer med feedback

Gammel verifisering forsvinner ikke. Bruk IP, DNS og User-Agent videre. Web Bot Auth legges på toppen.

Slik setter du det opp i dag

Større plattformer eller CDN-er som Cloudflare, AWS WAF eller Akamai støtter det ofte auto. Sjekk dashbordet ditt – slå på en bryter.

Selvstyrt? Følg disse stegene:

1. Hent og cache offentlige nøkler

Last ned fra https://agent.bot.goog/.well-known/http-message-signatures-directory. Følg Cache-Control for oppdatert liste.

2. Se etter Signature-Agent-header

Signerte forespørsler har Signature-Agent med g="https://agent.bot.goog". Det varsler om signatur.

3. Valider med RFC 9421

Sjekk Signature-header mot Signature-Input. Kryptografien bekrefter ekthet.

4. Håndter utløp riktig

Signaturer og nøkler utløper separat. Valider begge.

5. Ha fallback alltid

Ikke alt er signert. Fortsett med IP, DNS og User-Agent.

Tips for raske apper: Serv respons først, valider signatur asynkront. Unngå forsinkelser.

Hvorfor det teller for deg

Drifter du API-er, SaaS eller sider? Dette løser ekte hodepine:

• Riktig bot-identifisering – skill gode fra skurker
• Renere data – analyser viser sanne mønstre
• Mindre feilblokking – glade kunder
• Fremtidsikker – klar for AI-bølge

Netet blir et sted der maskiner beviser seg selv.

Hva du bør gjøre nå

1. Sjekk leverandøren – Cloudflare, AWS? Se etter Web Bot Auth i WAF-innstillingene.

2. Kartlegg dagens sjekk – Finn svakheter. Hvor passer krypto inn?

3. Følg IETF-gruppen – Hold deg oppdatert for å unngå sjokk.

4. Test med Google – Kontakt teamet deres for prøver.

5. Planlegg oppgradering – Tegn veien frem, med eller uten tredjepartsverktøy.

Det store bildet

Web Bot Auth viser at bot-trafikk er her for å bli. Slutt å behandle det som fiende. Bygg et web der gode agenter beviser seg kryptografisk. Da velger du tilgang smart.

Det er eksperimentelt i dag. Men eksperimenter blir standarder. Standarder blir infrastruktur. Tid for å ligge foran.

Håndtrykk-tiden ebber ut. Krypto-verifisering tar over.