24/7 ondersteuning
Veelgestelde vragen
 Dashboard
Accountsaldo:    
De ontbrekende schakel in AI-agentbeleid: /.well-known/agent-policy.json herschrijft webautomatisering

De ontbrekende schakel in AI-agentbeleid: /.well-known/agent-policy.json herschrijft webautomatisering

Mei 01, 2026 ai agents web standards dns policy automation api security developer tools well-known rfc proposals

Het verborgen probleem met AI-agents die accounts aanmaken

Je kent robots.txt vast wel. Die file stuurt webcrawlers al sinds 1994 aan over toegestane plekken. Er is ook llms.txt voor AI-modellen en .well-known/security.txt voor kwetsbaarheden. Maar één ding ontbreekt: een standaard waarmee sites tegen AI-agents zeggen: "Maak gerust een account aan voor mijn gebruiker, maar alleen onder deze regels."

Dit gat wordt steeds urgenter. In 2026 doen AI-agents meer dan pagina's lezen. Ze handelen namens mensen: formulieren invullen, accounts aanmaken, API's testen, trials starten. Voor servers lijkt dat op spam. Logisch dat sites en agent-ontwikkelaars in de knoop zitten.

Waarom huidige standaarden tekortschieten

De webregels liggen nu versnipperd.

  • robots.txt regelt crawling voor zoekmachines.
  • llms.txt geeft richtlijnen voor AI-gebruik.
  • Sitemaps wijzen URLs aan voor indexering.
  • OpenAPI en MCP bieden programmeerbare interfaces.
  • security.txt helpt bij meldingen van bugs.

Geen van deze pakt accountaanmaak aan. En dat is een groot probleem. Want accounts aanmaken is geen passief surfen. Het:

  • Verandert blijvend de staat van je platform.
  • Kan rate limits of abuse-alarmen activeren.
  • Beïnvloedt je aanmeldstatistieken.
  • Koppelt gebruikers aan je voorwaarden.
  • Leidt mogelijk tot onverwachte patronen.

Een simpele ja/nee-regel volstaat niet. De risico's zijn te groot, de situaties te divers.

Het Agent Policy Manifest: een nieuwe aanpak

Een frisse proefvoorstel, /.well-known/agent-policy.json, fixt dit met een leesbaar bestand voor machines. Het is een fijnmazig systeem van toestemmingen voor AI-agents.

De kracht zit niet in blokkeren of toestaan. Het draait om toestemmingsniveaus.

In plaats van "mogen agents accounts maken?" specificeert het:

  • Wat mag bij open browsen? (Pagina's lezen, links volgen, prijzen checken.)
  • Wat vraagt API-toegang? (Sandboxes, testmodi, agent-paden.)
  • Welke eisen voor namens-gebruiker-aanmaak? (Bewijs van menselijke wil, open identiteit, logs.)
  • Wanneer stoppen? (Betaling nodig, nepidentiteit, zware voorwaarden.)

Zo werken de niveaus in de praktijk

Stel, je hebt een SaaS-dienst. Je agent-policy kan zo uitzien:

Open verkenmodus: Altijd aan. Agents lezen docs, prijzen en features.

Automatiseringsmodus: Alleen via officiële API of sandbox.

Namens-gebruiker-aanmaak: Met voorwaarden. Trial-accounts mogen als:

  • Menselijke intentie is geverifieerd (geen bot).
  • Agent toont zich duidelijk (geen mens-imitatie).
  • E-mail traceerbaar is, zoals user+agent-domein@example.org.
  • Logs zichtbaar zijn voor de gebruiker.
  • Agent stopt bij betaling of zakelijke voorwaarden.

Belangrijk verschil:

  • Simpele hokjes (privacy-acceptatie): Oké met openheid.
  • Zware voorwaarden (aansprakelijkheid, betaling): Mens moet overnemen.

Opbouw van het voorstel

Een echt agent-policy.json-bestand begint met basics (versie, domein, vervaldatum). Dan volgen secties. De account_creation-sectie regelt het kernwerk.

Daarin stel je in:

  • Standaardmodus zonder policy.
  • Beschikbare modi en eisen.
  • Hoe acceptatie wordt gelogd.
  • Triggers voor stoppen.

Die stops omvatten:

  • Captcha's of bot-tests.
  • Verboden op automatisering.
  • Nepidentiteiten.
  • Betalingen.
  • Telefoonchecks.
  • Openbare posts.
  • Zware aansprakelijkheid.
  • Onbekende risico's.

Bij zo'n trigger: agent stopt, mens neemt over.

Regels voor agents

Het voorstel geeft agenten heldere stappen:

Geen bestand? Blijf bij open verkennen. Lees en vat samen, geen aanmaak.

Toestemming in manifest? Ga door binnen grenzen. Log URL en mens.

Simpel hokje? Mag met logging, als policy het toelaat.

Zware voorwaarden? Stop direct. Geen agent accepteert risico's namens jou.

Voordelen voor makers

Agent-ontwikkelaars: Eén standaard in plaats van per site hacken. Check manifest, parse niveaus, veilige back-ups, betrouwbare logs.

Platform-eigenaren: Precieze controle. Stimuleer agents zonder risico's. Verschillende regels per gebruikerstype. Logs voor compliance. Duidelijke grenzen.

Gebruikers: Volledige openheid. Zie wat agents mogen, bezit je logs.

Proefperiode en toekomst

Dit is een draft van wkdomains.com, voor discussie met domeineigenaren, botmakers en standaardenexperts. Experimenteel, dus aanpasbaar.

Vervalt op 1 november 2026, voor snelle verbetering.

Waarom dit telt

AI-agents worden afgevaardigde gebruikers, geen crawlers. Webregels hinken achter. robots.txt werkt door simpele prikkels: crawlers willen indexeren, sites willen gevonden worden.

Bij accountaanmaak spelen meer belangen: veiligheid voor platforms, openheid voor users, grenzen voor agents. Dit manifest biedt een gedeelde taal.

Publiceer een policy als je agents toelaat. Check er een als je agents bouwt. Of draag bij als standaardenfan. Raden werkt niet meer in dit tijdperk van slimme automatisering.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB HU IT FR ES DE DA ZH-HANS EN