7/24 Destek
SSS
 Kontrol Paneli
Hesap Bakiyesi:    
AI Ajanları İçin Eksik Parça: /.well-known/agent-policy.json Web Otomasyonu Nasıl Değiştirebilir?

AI Ajanları İçin Eksik Parça: /.well-known/agent-policy.json Web Otomasyonu Nasıl Değiştirebilir?

May 01, 2026 ai agents web standards dns policy automation api security developer tools well-known rfc proposals

AI Aracılarının Hesap Açma Sorunu Kimse Konuşmuyor

robots.txt'i duymışsınızdır muhtemelen. 1994'ten beri web tarayıcılarına nereye gidebileceklerini söylüyor. Belki llms.txt'den haberdarsınız ya da .well-known/security.json'dan. Ama eksik olan şey var: bir web sitesinin yapay zeka aracına "Evet, kullanıcım için hesap açabilirsin—ama şu koşullara bağlı olarak" diyebilmesinin standart bir yolu.

Bu boşluk sanıldığından çok daha önemli. 2026'da yapay zeka araçları artık sadece web sayfalarını okumuyorlar. Gerçek kullanıcılar adına davranıyorlar. Form dolduruyorlar, hesap açıyorlar, API'leri test ediyorlar, deneme sürümlerine kaydoluyorlar. Ama sunucunun açısından bakıldığında bu, spam bot'undan hiç farkı yok. İşte bu nedenle hem siteler hem de araç geliştiriciler kafası karışık.

Mevcut Standartlar Neden Yetersiz?

Gerçekçi olalım: web'in bugünkü "politika dosyaları" dağınık bir durumda.

  • robots.txt arama motorlarının taramasını kontrol eder
  • llms.txt yapay zeka modelleri için bağlam ve kullanım rehberi sağlar
  • Sitemap URL'leri indekslemek için listeler
  • OpenAPI ve MCP çağrılabilir ara yüzleri ortaya koyar
  • security.txt sorumlu açıklama iletişimi noktasını gösterir

Bunların hiçbiri hesap açılmasından söz etmiyor. Ve bu kritik bir eksiklik. Çünkü hesap açmak pasif bir tarama değildir. Bir araç hesap açtığında:

  • Platformunuzda kalıcı veri değişiklikleri yapıyor
  • Hız sınırlandırması ya da kötüye kullanım tespiti tetikleyebiliyor
  • Kayıt metriklerinizi ve dönüşüm hunisini etkiliyor
  • Bir kullanıcıyı hizmet şartlarınıza bağlıyor
  • Sistemin beklenmedik davranışlara kilitlenmesine neden olabilir

Buna basit bir "evet/hayır" politikası yapıştıramazsınız. Riskler çok yüksek ve kullanım senaryoları çok çeşitli.

Karşınızda: Agent Policy Manifest

Yeni bir deneysel öneri—/.well-known/agent-policy.json—bunu makine tarafından okunabilir bir manifest oluşturarak çözmeye çalışıyor. Bunu yapay zeka araçları için detaylı, ayrıntılı bir izin sistemi olarak düşünün.

Buradaki ana yenilik ikili bir izin/yasak değil. İzin seviyeleri sistemini sunuyor.

"Araçlar hesap açabilir mi?" sorusunun yerine manifest şu sorulara cevap veriyor:

  • Kamuya açık sayfaları tarayarken araçlar ne yapabilir? (Sayfa okumak, bağlantı takip etmek, fiyatlandırmayı kontrol etmek)
  • Hangi işlemler açık API erişimi gerektirir? (Sandbox'lar, test modları, belgelenen araç akışları)
  • Kullanıcı adına kayıt olabilmek için hangi koşullar gerekli? (İnsan niyetinin doğrulanması, şeffaf kimlik, denetim günlükleri)
  • Araçlar ne zaman kesinlikle durmalı? (Ödeme gerekli, sahte kimlik, önemli hukuki şartlar)

İzin Seviyeleri Pratikte Nasıl Çalışıyor?

Bir SaaS platformu yönettiğinizi düşünün. Yeni araç politikanız şunu söyleyebilir:

Herkese açık tarama modu: Varsayılan olarak açık. Araçlar dokümantasyonu, fiyatlandırma sayfasını ve özellik listesini okuyabilir.

Beyan edilmiş otomasyon modu: Sadece resmi API'niz veya sandbox ortamınız aracılığıyla.

Kullanıcı delegasyonlu kayıt modu: Şartlı. Araçlar deneme hesapları açabilir eğer:

  • İnsan kullanıcının niyeti doğrulanmışsa (otomatik değilse)
  • Aracın kimliği şeffafsa (insan gibi davranmıyorsa)
  • E-posta user+agent-{domain}@example.org gibi bir deseni takip ediyorsa (izlenebilir)
  • Kullanıcının görebileceği bir denetim günlüğü tutarsanız
  • Araç ödeme istememeden ya da önemli ticari şartlara gelmeden durursa

Son nokta çok önemli. Manifest arasında ayrım yapıyor:

  • Rutin onaylar (gizlilik politikasını kabul gibi): Açıklama yapılarak izin verilebilir
  • Önemli hukuki şartlar (yasal tazminat, ödeme yükümlülükleri): İnsan doğrulaması gerekli, nokta

Önerinin Mimarisi

Gerçek bir agent-policy.json şöyle görünebilir:

Manifest meta verilerle başlar (şema versiyonu, domain, sona erme tarihi). Sonra bölümler tanımlanır. account_creation bölümü sihrin gerçekleştiği yerdir.

Hesap açılması bölümünde belirtilir:

  • Varsayılan mod (politika bulunmadığında araçların benimseyeceği davranış)
  • Kullanılabilir modlar ve şartları
  • Şartlar kabulü nasıl kaydedilir
  • Neyin mutlak durdurmayı tetiklediği

"Mutlak duruşlar" incelemeye değer:

  • Captcha ya da bot tespiti zorlukları
  • Otomatik hesapları açıkça yasaklayan şartlar
  • Sahte kimlik gereksinimleri
  • Ödeme yöntemleri
  • Telefon doğrulaması
  • Herkese açık yazı ya da mesajlaşma
  • Önemli hukuki sorumluluk kabulü
  • Bilinmeyen şartların etkisi

Araç bunlardan herhangi biriyle karşılaştığında durmalı ve işlemi insan kullanıcıya devretmelidir.

İşleme Kuralları: Araçlar Ne Yapmalı?

Öneri araç davranışı için net yönergeler içeriyor:

Dosya yok mu? Varsayılan olarak sadece herkese açık tarama yapılır. Oku ve özetle, ama kayıt otomasyonuna girme.

Manifestte açık izin var mı? Sadece belirtilen bölümde ve sınırlar içinde ilerleme. Manifest URL'sini ve işlem yapan kişiyi kaydet.

Rutin onay mı tetiklendi? İzin verilebilir ve açıklama yapılırsa, politika izin veriyorsa ve işlemi kaydetsen.

Önemli şartlar mı? Hemen dur. Bir araç hiçbir şekilde kullanıcı adına hukuki sorumluluk, ödeme yükümlülüğü ya da ticari şart kabul etmemelidir.

Geliştiriciler İçin Neden Önemli?

Yapay zeka araçları geliştiriyorsanız bu standart size bir rehber sunuyor. Her platform için özel kod yazmak yerine şunları yapabilirsiniz:

  • Manifestin varlığını kontrol etmek
  • İzin seviyelerini tutarlı şekilde analiz etmek
  • Politika olmadığında güvenli yedeklemeler oluşturmak
  • Kullanıcıların güvenebileceği şeffaf denetim günlükleri hazırlamak

Bir platform yönetiyorsanız bu standart size ayrıntılı denetim sağlıyor. Şunları yapabilirsiniz:

  • Güvenlikten ödün vermeden araç destekli kayıt teşvik etmek
  • Farklı kullanıcı türleri için ayrı politikalar oluşturmak
  • Düzenleyici uyum için denetim günlükleri tutmak
  • Araçlara sınırlarınızın tam olarak nerede olduğunu göstermek

Kullanıcılar için mi? Şeffaflık. Bir aracının sizin adınıza yapmasına izin verilen şeyleri tam olarak görebilir ve denetim günlüğünün sahibi siz olursunuz.

Deneysel Faz: Sırada Ne Var?

Bu hala wkdomains.com'dan bir taslak öneri, domain sahipleri, bot geliştiricileri, standart insanları ve araç yapıcıları tarafından tartışılması için sunulmuş. Deneysel—yani değişebilir, gelişebilir ya da topluluk daha fazla şey öğrendikçe yerini başka şeye bırakabilir.

Öneri 1 Kasım 2026'da sona eriyor. Bu hızlı gelişimi teşvik ediyor, erken standardizasyondan kaçınıyor.

Daha Geniş Resim

Bir dönüm noktasındayız. Yapay zeka araçları delege edilmiş kullanıcı haline geliyor, sadece tarayıcı değil. Web'in izin altyapısı geride kaldı. robots.txt arama motorları için işe yarıyor çünkü teşvikler basit: arama motorları taramak istiyor; yayıncılar görünürlük istiyor.

Ama hesap açan yapay zeka araçları? Teşvikler daha karmaşık. Platformlar güvenlik istiyor. Kullanıcılar şeffaflık istiyor. Araçlar net kurallar istiyor. Agent-policy.json gibi bir standart her kenarı çözmese de herkese ortak bir dil veriyor.

Platformunuz araç destekli kayıt izin veriyorsa bir araç politikası yayınlamaya değer. Araç geliştiriyorsanız bir tane olup olmadığını kontrol etmeye değer. Ve standartlar konusunda ilgili bir geliştiriciyseniz bu öneriye katılmak için harika bir zaman.

Alternatif? Tahmin etmeye devam etmek. Ve daha akıllı araçlar ile daha sofistike otomasyonun çağında tahmin yeterli değil.

Read in other languages:

RU BG EL CS UZ SV FI RO PT PL NB NL HU IT FR ES DE DA ZH-HANS EN