Wsparcie 24/7
FAQ
 Pulpit
Saldo konta:    
Brakujący element w polityce agentów AI: Jak /.well-known/agent-policy.json odmieni automatyzację webu

Brakujący element w polityce agentów AI: Jak /.well-known/agent-policy.json odmieni automatyzację webu

Maj 01, 2026 ai agents web standards dns policy automation api security developer tools well-known rfc proposals

Problem z rejestracją agentów AI, o którym nikt nie mówi

Pewnie znasz robots.txt. Od 1994 roku mówi crawlerom, gdzie mogą buszować, a gdzie nie. Słyszałeś o llms.txt dla modeli AI czy .well-known/security.txt do zgłaszania dziur. Ale brakuje czegoś kluczowego: sposobu, by strona powiedziała agentowi AI: "Tak, załóż konto dla mojego użytkownika – ale na moich zasadach".

To nie jest drobiazg. W 2026 roku agenci AI nie tylko czytają strony. Działają jak pełnoprawne konta użytkowników. Wypełniają formularze, zakładają profile, testują API i startują triale – w imieniu człowieka. Serwer widzi to jak spam. Nic dziwnego, że serwisy i twórcy agentów gubią się w chaosie.

Dlaczego stare standardy zawodzą

Webowe pliki polityk to puzzle z brakującymi kawałkami.

  • robots.txt pilnuje indeksowania przez wyszukiwarki.
  • llms.txt daje wskazówki modelom AI.
  • Sitemapy wymieniają adresy do skanowania.
  • OpenAPI i MCP otwierają interfejsy.
  • security.txt wskazuje kontakty do błędów.

Żaden nie mówi o zakładaniu kont. A to nie jest bierne przeglądanie. Rejestracja to:

  • Zmiana stanu w bazie.
  • Ryzyko blokad antyspamowych.
  • Wpływ na statystyki konwersji.
  • Wiążąca zgoda na regulamin.
  • Potencjalne dziwne wzorce użycia.

Proste "tak/nie" nie wystarcza. Potrzeba niuansów.

Przedstawiamy: Agent Policy Manifest

Nowy pomysł – eksperymentalny plik /.well-known/agent-policy.json – to maszynowy manifest z precyzyjnymi regułami dla agentów. Klucz to poziomy uprawnień, nie binarny wybór.

Manifest wyjaśnia:

  • Co agenci mogą w trybie publicznym? (Czytać strony, ceny, funkcje).
  • Co wymaga API? (Piaskownice, tryby testowe).
  • Warunki na rejestrację w imieniu użytkownika? (Potwierdzona wola człowieka, jawna tożsamość, ślad audytu).
  • Gdzie zakaz totalny? (Płatności, fałszywe dane, ciężkie klauzule).

Jak działają poziomy uprawnień

Prowadzisz SaaS? Twój manifest mógłby brzmieć tak:

Eksploracja publiczna: Zawsze OK. Agenci czytają dokumentację i ceny.

Automatyzacja jawna: Tylko via oficjalne API lub sandbox.

Rejestracja z delegacją: Pod warunkami. Trial OK, jeśli:

  • Człowiek potwierdził zamiar.
  • Agent pokazuje, kim jest.
  • Mail w stylu uzytkownik+agent-domena@domena.pl.
  • Audyt widoczny dla użytkownika.
  • Stop przed kasą czy umowami.

Rozróżnienie kluczowe:

  • Zwykłe checkboxy (polityka prywatności): OK z logiem.
  • Ciężkie terminy (odpowiedzialność, płatności): Człowiek musi sam.

Budowa manifestu

Plik zaczyna się od metadanych: wersja, domena, data wygaśnięcia. Potem sekcje. Najważniejsza: account_creation.

Tam definiujesz:

  • Domyślny tryb bez pliku.
  • Dostępne poziomy i warunki.
  • Logowanie zgód.
  • Punkty hard stop.

Te "hard stop" to m.in.:

  • Captcha.
  • Zakaz automatyzacji w regulaminie.
  • Fałszywe tożsamości.
  • Płatności.
  • Weryfikacja SMS.
  • Posty publiczne.
  • Ciężkie klauzule.
  • Nieznane ryzyka.

Agent trafia na to? Przekazuje pałeczkę człowiekowi.

Zasady dla agentów

Propozycja podaje klarowne kroki:

Brak pliku? Tylko czytanie i podsumowania. Zero rejestracji.

Zezwolenie w manifeście? Działaj w limitach sekcji. Loguj URL i człowieka.

Zwykły checkbox? OK z披露 i logiem, jeśli polityka pozwala.

Ciężkie terminy? Natychmiast stop. Zero akceptacji w imieniu użytkownika.

Korzyści dla deweloperów

Budujesz agentów? Masz kompas:

  • Szukaj manifestu na start.
  • Parsuj poziomy jednolicie.
  • Fallbacki na brak polityki.
  • Audyty, którym ufają ludzie.

Prowadzisz platformę? Kontrolujesz:

  • Agentów bez utraty bezpieczeństwa.
  • Różne reguły dla typów users.
  • Logi pod compliance.
  • Jasne granice.

Użytkownicy? Widzą, co agent robi w ich imieniu. Kontrolują logi.

Faza testów: co dalej

To draft z wkdomains.com. Do dyskusji: właściciele domen, boty, standardy, agenci. Eksperyment – może ewoluować lub zniknąć.

Wygaśnie 1 listopada 2026, by iterować szybko.

Szerszy kontekst

Stoimy na zakręcie. Agenci to użytkownicy z delegacją, nie tylko skanery. Webowe reguły nie nadążają. robots.txt działa, bo motywacje proste: widoczność za indeksację.

Tu motywacje złożone: bezpieczeństwo platform, przejrzystość users, ramy dla agentów. agent-policy.json nie załatwia wszystkiego, ale daje wspólny język.

Jeśli pozwalasz agentom na rejestrację – wydaj politykę. Budujesz agentów – sprawdzaj ją. Deweloper standardów? Dołącz do rozmowy.

Alternatywa? Chaotyczne domysły. W erze sprytnych agentów to za mało.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT NB NL HU IT FR ES DE DA ZH-HANS EN