自動化流量的新現實

自動化並非新鮮事 — 但如今，它已變得幾乎「無形」。AI Agents、資料擷取器（fetchers）與爬蟲（crawlers）已深入網路互動的核心。然而，網路的信任機制卻未能與時俱進，導致大多數網站仍難以判斷一個Bot 究竟是經過驗證、被偽造，還是具有惡意的行為者。
因此，問題變成了：我們要如何在全球規模下、以加密方式、即時地驗證一個 Bot 的真實身分？

介紹 Web Bot Authentication

Web Bot Authentication（Web Bot Auth） 是一項新興標準，讓 Bot能透過嵌入於標準 HTTP 訊息中的加密簽章來證明自身身分。經驗證的 Bot（例如 AI搜尋爬蟲或資料擷取器）會使用私鑰對其 HTTP 請求進行簽署，而伺服器或中介節點（如Akamai Edge）則可使用該 Bot 發佈的公開金鑰來驗證其簽章。

這項機制遵循 IETF（Internet Engineering Task Force） 制定的 HTTP Message Signatures 標準，規範如何建立與驗證簽章，以及如何透過 Signature-Input 與Signature 標頭傳遞簽章內容。

對 Akamai 而言，這是 Bot 管理從「偵測式防護」邁向「可驗證身分」的關鍵下一步。

推動此變革的核心標準

這項技術依據兩份 IETF 文件：

• RFC 9421: HTTP Message Signatures —
  定義如何建立、包含與驗證訊息簽章，並透過 Signature-Input 和 Signature 標頭綁定相關參數。

• HTTP Message Signatures Directory（Internet-Draft）
  — 提出使用 JSON Web Key Set (JWKS) 格式的簽章金鑰目錄，並可透過 well-known URI 及 Signature-Agent 標頭進行發佈與查詢；同時註冊了新媒體型別application/http-message-signatures-directory+json。

這兩份文件共同建立了自動化世界的「公開金鑰信任基礎」，使驗證者不需仰賴靜態白名單或不透明合作，即可確認 Bot 的真實性。

Web Bot Auth 的實際運作方式

驗證流程包含三個步驟：
1️⃣ 金鑰發佈
已驗證的 Bot 會在公開 URI 上發佈其公開金鑰目錄（格式為application/http-message-signatures-directory+json）。

2️⃣ 簽署請求
Bot 對選定的 HTTP 元件進行簽署，並於 Header 中附上 Signature 與 Signature-Input 欄位。
Signature-Input 提供產生簽章的「配方（recipe）」。

3️⃣ 簽章驗證
伺服器接收到請求後，根據 Signature-Input 的配方重新產生簽章，下載該 Bot 的公開金鑰，並驗證結果是否與 Signature Header 中的值相符。

Signature-Input: sig1=("@method" "@target-uri" "user-agent");
keyid="https://bot.example.com/.well-known/http-message-signatures";
alg="rsa-pss-sha512"
Signature: sig1=:Base64SignatureValue:

Akamai 如何實現 Web Bot Authentication

Web Bot Auth 已整合進 Akamai App & API Protector 的 Bot管理與濫用防護方案中。
Akamai 提供兩層驗證機制：

1️⃣ 邊緣驗證（Edge Verification） — Akamai Edge 會自動擷取 Bot 的簽章目錄，依據 RFC 9421 驗證簽章，確認請求真實性，而不增加原始伺服器的負擔。
2️⃣ 策略決策（Policy Decision） — 一旦驗證通過，Akamai會將該請求分類為「Validated-Bot」流量，讓客戶可依據策略決定是否允許、挑戰（Challenge）、延遲或封鎖。

為何這很重要

Web Bot Authentication 透過加密方式證明 Bot 的真實身分，確保網站能獲得可驗證的請求來源。其價值在於：

✅ 簽署請求取代易被偽造的 User-Agent。

✅ 合法爬蟲與 AI Agent 可被「驗證」而非「猜測」。

✅ 動態金鑰機制取代靜態白名單。

✅ 架構可擴展至 AI Agents、API 及服務間通訊。

面向 Agentic Commerce 的信任演進

Web Bot Auth只是眾多新興協定之一，這些協定正改變自動化代理在網路上建立信任的方式。

Web Bot Auth 著重於驗證「請求來源」，而下一階段的重點將是驗證「操作對象」—
建立以使用者身分、聲譽與行為為基礎的信任框架。

超越 Web Bot Auth：Know Your Agent（KYA）

隨著網路邁入「Agentic」時代，新協定正快速成形。
由 Skyfire 推出的 KYA（Know Your Agent） 擴充了 Web Bot Auth，不僅依賴加密簽章，還增加了代理的身分驗證層，將每個 Agent 綁定至已驗證的組織、開發者、平台，或具實名化使用者，並以 Token 形式證明。

KYA 協定具可延展性，能攜帶如業務類型、使用案例與目的等中繼資料，幫助網站或 API 區分「良性自動化」（例如研究、搜尋、商務）與惡意行為（如爬取、濫用）。

Web Bot Auth 著重「請求來自哪裡」，而 KYA 則著重「誰在操作」與「為何執行」，從而啟用更精細的權限與商業模式。

類似倡議還包括 Visa Trusted Agent Protocol
與 Mastercard Agent Pay，共同致力於建立一個可驗證、可互操作的自動化信任網絡。

共建可信賴的自動化未來

「可驗證的自動化」不會獨立發展，它依賴產業協作。Akamai 正與業界夥伴、AI 平台與開發者（包含 OpenAI、Amazon AgentCore
等）合作，推動 Web Bot Auth 與相關驗證協定的落地應用，確保互通性與隱私安全。

Akamai 的使命是推動安全的 Agentic AI 世界，讓經驗證的自動化成為促進創新、信任與透明的核心力量。

如果你正在開發或管理自動化代理，誠邀加入我們，一起測試與共建更安全的網路未來。