Suporte 24/7
Perguntas frequentes
 Painel de Controle
Saldo da conta:    
A Peça que Falta na Política de Agentes de IA: Como o /.well-known/agent-policy.json Pode Revolucionar a Automação Web

A Peça que Falta na Política de Agentes de IA: Como o /.well-known/agent-policy.json Pode Revolucionar a Automação Web

Mai 01, 2026 ai agents web standards dns policy automation api security developer tools well-known rfc proposals

O Problema do Cadastro de Agentes que Ninguém Discute

Todo mundo conhece o robots.txt. Desde 1994, ele orienta crawlers sobre o que pode ou não acessar em um site. Já ouviu falar de llms.txt para dar contexto a IAs? Ou .well-known/security.txt para reportar falhas de segurança? Mas falta algo essencial: um jeito padrão de um site dizer a um agente de IA: "Pode criar conta para o meu usuário, mas só assim".

Esse buraco é maior do que parece. Em 2026, agentes de IA vão além de ler páginas. Eles agem como usuários proxy: preenchem formulários, abrem contas, testam APIs e ativam trials em nome de pessoas reais. Do lado do servidor, isso vira spam puro. Resultado? Sites travam e criadores de agentes se perdem.

Por Que os Padrões Atuais Não Resolvem

Os arquivos de política da web estão espalhados e incompletos.

  • robots.txt cuida de permissões para crawlers de busca.
  • llms.txt dá regras de uso para modelos de IA.
  • Sitemaps listam URLs para indexação.
  • OpenAPI e MCP abrem interfaces chamáveis.
  • security.txt indica contatos para vulnerabilidades.

Nenhum lida com criação de contas. E isso é grave. Criar conta não é só navegar: altera dados permanentes, ativa limites de taxa, bagunça métricas de signup, vincula o usuário aos seus termos e pode gerar comportamentos imprevisíveis.

Não basta um "sim/não". Os riscos variam demais.

Apresentando: O Manifesto de Política para Agentes

Uma proposta experimental, o /.well-known/agent-policy.json do wkdomains.com, cria um arquivo legível por máquinas. É um sistema de permissões detalhado para agentes de IA.

O pulo do gato? Níveis de permissão, não só liberação ou bloqueio.

Em vez de "agentes cadastram?", ele define:

  • O que rola no modo público? (Ler páginas, links, preços).
  • O que exige API? (Ambientes de teste, fluxos para agentes).
  • Quais regras para cadastro delegado? (Intenção humana comprovada, identidade clara, logs auditáveis).
  • Quando parar de vez? (Pagamento, identidade falsa, termos de risco alto).

Como Funcionam os Níveis de Permissão

Gerencia um SaaS? Seu agent-policy.json pode liberar:

Exploração pública: Sempre on. Agentes leem docs, preços e features.

Automação declarada: Só via API oficial ou sandbox.

Cadastro delegado: Com condições. Libera trials se:

  • Intenção do humano for verificada (nada de automação pura).
  • Identidade do agente for aberta (sem fingir ser humano).
  • Email rastreável, tipo usuario+agente-dominio@exemplo.com.
  • Logs visíveis ao usuário.
  • Para antes de pagamento ou termos pesados.

Aqui vai o detalhe chave: diferencia checkboxes leves (aceito política de privacidade) de termos sérios (responsabilidades legais, pagamentos). Os leves passam com log; os sérios exigem humano no comando.

A Estrutura da Proposta

Um agent-policy.json real começa com metadados (versão, domínio, validade). Depois, seções como account_creation.

Nela, você define:

  • Modo padrão (se não achar policy, só explora).
  • Modos liberados e condições.
  • Como registrar aceitação de termos.
  • Pontos de parada rígida.

Esses "hard stops" incluem:

  • Captcha ou detecção de bot.
  • Termos que banem automação.
  • Identidade falsa.
  • Pagamentos.
  • Verificação por telefone.
  • Postagens públicas.
  • Termos de risco alto.
  • Impactos desconhecidos.

Agente topa isso? Para e chama o humano.

Regras para Agentes: O Que Fazer

A proposta dá instruções claras:

Sem arquivo? Só explora público. Lê, resume, mas não cadastra.

Liberação explícita? Avança só no escopo definido. Loga URL da policy e humano por trás.

Checkbox simples? Ok com disclosure e log, se policy permitir.

Termos pesados? Freia na hora. Nada de agente assumindo dívidas ou riscos pelo usuário.

Por Que Desenvolvedores Devem Ligar

Criando agentes? Ganhe uma bússola: cheque a policy, parse níveis, use fallbacks seguros e crie logs transparentes.

Rodando plataformas? Controle fino: incentive cadastros com agente sem abrir brechas, segmente por tipo de usuário, cumpra regras e marque limites claros.

Usuários? Transparência total. Veem o que o agente pode fazer e controlam os logs.

Fase Experimental: E Agora?

É um rascunho do wkdomains.com, aberto a donos de domínios, criadores de bots, padrões e devs de agentes. Pode mudar ou sumir conforme testes.

Expira em 1º de novembro de 2026, pra iterar rápido.

O Cenário Maior

Ponto de virada: agentes viram usuários delegados, não só rastreadores. A web precisa de permissões atualizadas. robots.txt rola pra buscas porque incentivos alinham: crawlers querem índice, sites querem visibilidade.

Mas cadastros por IA? Mais complexo. Plataformas querem segurança, usuários clareza, agentes limites nítidos. Um agent-policy.json não tapa tudo, mas cria diálogo comum.

Se seu site topa cadastro com agente, publique uma policy. Se faz agentes, cheque elas. Dev de padrões? Opine já.

A outra opção? Chute no escuro. Com IAs espertas e automação afiada, chute não cola mais.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PL NB NL HU IT FR ES DE DA ZH-HANS EN