Google testando Web Bot Auth para verificar solicitações de agentes de IA
O Google publicou documentação explicando seus testes do Web Bot Auth, um protocolo experimental IETF que pode ajudar sites a verificar criptograficamente algumas solicitações automatizadas de bots e agentes de IA.
O protocolo adiciona outra camada de verificação, permitindo que os agentes assinem solicitações HTTP com chaves criptográficas. Os sites podem então verificar essas assinaturas em relação às chaves públicas publicadas para confirmar se a solicitação veio de quem afirma ser.
O que há de novo
O Web Bot Auth usa assinaturas de mensagens HTTP (RFC 9421) para permitir que clientes automatizados assinem solicitações de saída. Um bot possui uma chave privada, publica sua chave pública em uma URL conhecida e assina cada solicitação. O site receptor verifica a assinatura em relação à chave pública para confirmar a identidade.
O Google diz que um subconjunto de solicitações assinadas do Google-Agent são autenticadas como https://agent.bot.goog. As solicitações assinadas incluem um Signature-Agent Cabeçalho HTTP definido como g="https://agent.bot.goog"e a assinatura correspondente pode ser verificada usando chaves públicas publicadas nesse domínio .well-known diretório.
De acordo com a documentação do Google, os serviços de detecção de bots, CDNs e WAFs já suportam o protocolo. O rascunho da IETF é de autoria de Thibault Meunier da Cloudflare e Sandor Major do Google. Cloudflare publica uma implementação de referência no GitHub.
O Grupo de Trabalho de Autenticação de Web Bot da IETF foi fundado no início de 2026 com marcos para especificações de rastreamento de padrões e um documento de melhores práticas atuais.
O que o Google ainda não está fazendo
Nem todos os agentes de usuários do Google participam. A documentação diz que o Google está testando “alguns agentes de IA hospedados na infraestrutura do Google”, mas não indica quais deles além do buscador acionado pelo usuário do agente do Google.
Mesmo para os agentes participantes, nem todas as solicitações são assinadas. A documentação recomenda que os sites continuem contando com endereços IP, DNS reverso e strings de agente de usuário como método de verificação principal enquanto o tráfego assinado é implementado gradualmente.
O Internet-Draft pode mudar à medida que o grupo de trabalho desenvolve o padrão.
Por que isso é importante
A representação de bot tem sido um problema persistente. Scrapers e malfeitores podem falsificar strings de agente de usuário para disfarçar seu tráfego como Googlebot ou outros rastreadores legítimos, tornando mais difícil para os proprietários de sites diferenciar o tráfego real de bot do falso.
Abordamos esse problema quando Martin Splitt, do Google, alertou que “nem todo mundo que afirma ser Googlebot na verdade é Googlebot”. Os métodos de verificação disponíveis na época eram pesquisas reversas de DNS e verificações de intervalo de IP. O Web Bot Auth adicionaria uma camada que não pode ser falsificada sem a chave privada do agente.
Para sites que já utilizam CDN ou WAF compatíveis com o protocolo, a verificação pode acontecer automaticamente. Para todos os outros, o estatuto experimental significa que não há urgência em agir. A documentação recomenda tratar a verificação existente como padrão e o Web Bot Auth como complementar.
Olhando para o futuro
O Web Bot Auth ainda está avançando no processo de padrões e a implementação do Google permanece experimental.
Por enquanto, a mudança prática é a visibilidade. Os sites podem começar a ver solicitações assinadas de algum tráfego do Agente do Google, enquanto os métodos de verificação existentes permanecem como padrão.
A próxima questão é se mais agentes de IA adotam solicitações assinadas e se os provedores de hospedagem tornam a verificação automática para sites que não desejam gerenciar chaves.
