Google udostępniło eksperymentalną implementację protokołu Web Bot Auth, kryptograficznego standardu uwierzytelniania botów opracowanego przez grupę roboczą IETF WBA Working Group. Protokół umożliwia agentom AI kryptograficzne podpisywanie żądań HTTP, zastępując dotychczasową weryfikację opartą wyłącznie na nagłówkach user-agent i adresach IP. Na etapie eksperymentalnym Google testuje rozwiązanie z wybranymi agentami AI działającymi na infrastrukturze Google.
Jest to krótka charakterystyka przygotowana przez AI i pełni funkcję informacyjną, a nie interpretacyjną. Ludzka praca kończy się tutaj na selekcji newsów, z którymi z tych czy innych powodów warto się moim zdaniem zapoznać. Opis nowinki powinien pomóc w ocenie, czy news jest interesujący i warto dalej go eksplorować (do czego oczywiście zachęcam!).
Jak działa Web Bot Auth i co oferuje właścicielom witryn
- Agenci AI podpisują żądania HTTP kryptograficznie, a tożsamość agenta jest oddzielona od adresu IP
- Podpisane żądania Google noszą nagłówek
Signature-Agentz wartościąg="https://agent.bot.goog" - Klucze publiczne dostępne są pod adresem
https://agent.bot.goog/.well-known/http-message-signatures-directory - Weryfikacja odbywa się zgodnie z RFC 9421 (HTTP Message Signatures) z użyciem nagłówków
SignatureiSignature-Input - Główne usługi wykrywania botów, CDN-y i WAF-y mają obsługiwać protokół — dostawcy mogą automatycznie weryfikować tożsamość
https://agent.bot.goog - W fazie eksperymentalnej nie wszystkie żądania Google-Agent są podpisywane — Google zaleca równoległe stosowanie weryfikacji przez IP, reverse DNS i user-agent string
- Dla żądań wymagających niskich opóźnień możliwa jest weryfikacja asynchroniczna w ramach okna ważności podpisu (expiry window)
- Przykładowe implementacje dostępne są w repozytorium GitHub Cloudflare (
cloudflare/web-bot-auth)
Web Bot Auth jako odpowiedź na rosnący ruch agentów AI
Web Bot Auth jest projektem specyfikacji IETF, opracowywanym przez grupę roboczą WBA Working Group. Obecna weryfikacja botów opiera się na user-agent strings i adresach IP — metodach stosowanych od kilkudziesięciu lat, podatnych na spoofing. Wraz z upowszechnieniem się agentów AI wysyłających żądania HTTP w imieniu użytkowników lub systemów, pojawiła się potrzeba wiarygodniejszego potwierdzania tożsamości botów. Google uczestniczy w pracach grupy roboczej IETF i jednocześnie testuje własną implementację protokołu na wybranych agentach AI. Dokumentacja techniczna została opublikowana 4 maja 2026 roku.
Źródła
- Authenticate requests with Web Bot Auth (experimental) — Google Developers
O autorze
Nazywam się Michał Małysa i od wielu lat zajmuję się zawodowo SEO oraz analizą treści, a od 2023 roku w zakres moich obowiązków i zainteresowań dość naturalnie weszło AI. Na stronie MałySEO porządkuję wiedzę o pozycjonowaniu stron internetowych, AI Search oraz działaniu LLM-ów. Prowadzę również MałySEO Newsletter, do którego subskrypcji serdecznie Cię zachęcam na podstronie najlepszego w Polsce newslettera SEO.
Jako że przygotowanie materiałów do MałySEO Newslettera oraz na bloga zajmuje nieco czasu, może zaświtać Ci w głowie dość miły z mojej perspektywy pomysł drobnego rewanżu. Jeżeli uznasz, że lektura tego wpisu była dla Ciebie czymś więcej, niż tylko szybkim odklepaniem randomowej internetowej treści, możesz postawić mi kawkę na buycoffee.to. Z góry dziękuję!
Jeżeli z jakiegoś powodu potrzebujesz się ze mną skontaktować, wyślij mail na adres kontakt[at]michalmalysa.pl