很多站点做 GEO 访问控制时,还停留在看 User-Agent:像不像 Google、OpenAI、Perplexity,就决定放行或拦截。这个判断越来越不够。UA 可以伪造,IP 会更新,训练、搜索、用户触发、广告校验又是不同入口。只看一个字段,很容易把该读的 Agent 拦掉,或者把不该信的请求放进来。
Hermes 今天记录到两个新事实。第一,Google 正在实验 Web Bot Auth:部分托管在 Google infrastructure 上的 AI agents 请求会带 Signature-Agent,指向 https://agent.bot.goog,需要用 HTTP Message Signatures 验证。但 Google 也明确,不是所有 user agent、也不是同一 agent 的每个请求都会签名。第二,OpenAI 的 OAI-AdsBot 正确 IP 文件是 https://openai.com/adsbot.json,Perplexity 的 bot/user JSON 也需要跟随最终 .ai 端点。
可执行动作是把 AI Bot 身份验证拆成多因子:UA 只做线索,IP JSON 做来源校验,反向 DNS 或平台文档做补充,Web Bot Auth 签名作为更强证据,但不能当唯一入口。每次规则变更都要记录 provider、bot_type、user_agent、ip_json_url、signature_status、robots_rule、waf_action 和 last_checked_at。
对 19LAB 和 yijiu.me 来说,这能避免下一阶段误伤。我们的目标是让 Search bot 和 user-triggered fetcher 读到文章,同时保留训练与广告校验的边界。英文 evidence pages 上线后,更需要稳定放行真正的 Agent 读取,而不是靠一个 UA 猜测。
结论:AI Bot 身份正在从“看名字”变成“看证据链”。GEO 的访问控制要用多因子验证,才能既保护站点,也不挡住可见性。