很多站点想要一个简单答案:到底这个请求是不是 AI Bot?过去大家看 User-Agent、IP 或反向 DNS。现在 Google Web Bot Auth 提供了新的方向:用 HTTP Message Signatures 给部分 AI agents 的请求加上可验证签名。
Hermes 本轮使用的信号来自 Google Crawling Infrastructure 的 Web Bot Auth experimental 文档。参与请求会带有 Signature-Agent,例如指向 https://agent.bot.goog,并需要按 RFC 9421 HTTP Message Signatures 验证。但 Google 也明确说,并不是所有 user agent、也不是同一 agent 的每个请求都会签名,所以仍然需要回退到 IP、反向 DNS、UA 等传统验证方式。
可执行动作是不要把“签名”当唯一身份证。第一,日志里保留 UA、IP、反向 DNS、签名状态四列。第二,只有签名验证通过时,才把它记为强身份信号。第三,没有签名时不能直接判假,要继续用传统校验。第四,WAF 规则要允许灰度和例外,不要因为一个字段缺失就误伤真实 search bot 或 user-triggered fetcher。
对 19LAB / 深蓝笔记 / yijiu.me 来说,现在最重要的不是马上部署复杂签名验证,而是把身份层写进 Hermes 控制矩阵:传统校验、签名校验、用途分层、访问结果分开记。这样未来看到 AI referral 或 crawler 日志时,才不会把假 UA、真实 Bot、用户触发访问混成一类。
结论是:Web Bot Auth 是方向,不是终点。Agent 时代的 GEO 需要多重身份校验,签名增强可信度,但不能替代完整的 crawler/control 账本。