很多站点一遇到 AI Bot,就想找一个简单答案:有没有签名,有就放行,没有就拒绝。但 AI 抓取身份正在变复杂,单一信号反而容易误判。
Hermes 本轮使用的信号来自 Google 官方 Web Bot Auth 文档:Google 正在测试基于 HTTP Message Signatures 的 AI agent 请求验证,部分请求会带 Signature-Agent: g="https://agent.bot.goog"。但文档也明确说明,不是所有 user agent、也不是同一 agent 的每次请求都会签名,仍需回退到 IP、反向 DNS、UA 等传统验证方式。
可执行动作是建立多重校验表。第一,记录 UA、IP 段、反向 DNS、签名头、状态码和访问页面。第二,把 signed、unsigned、unknown 分开,不把 unsigned 直接写成假 bot。第三,把 Google-Agent、Googlebot、AI agent、普通浏览器访问分层。第四,WAF 策略先观察再收紧,避免把真实 user-triggered fetch 拦掉。
对 19LAB / 深蓝笔记 / yijiu.me 来说,这能帮助我们判断未来的 Agent 访问到底是什么:搜索抓取、用户触发读取、预览校验,还是普通浏览。没有这个分层,views 变化只是一串数字。
结论是:签名是强信号,但不是万能身份证。GEO 的流量管理要从“看到 bot 名字”升级到“解释请求证据链”。