Верификация AI-агентов · Web Bot Auth

Узнайте, какому AI-агенту можно доверять

AgentBouncer проверяет криптографические подписи входящих AI-агентов по стандарту Web Bot Auth (RFC 9421) и говорит вашему бэкенду, реальный ли это агент, какие у него полномочия и можно ли ему доверять — одним вызовом API, без привязки к CDN.

RFC 9421 · Ed25519Работает за любым хостингомЗащита от replay
Ответ /v1/verify
POST /v1/verify
{
  "verified": true,
  "agent": "OpenAI Operator",
  "confidence": 0.97,
  "scope": "agent-payer-auth",
  "keyid": "poqkLGiymh_W0uP6PZFw...",
  "trusted": true
}
Пример ответа верификации агента~12ms
Как это работает

Верификация за четыре шага

Агент подписывает запрос своим приватным ключом. Мы проверяем подпись публичным ключом из директории провайдера — и отдаём вердикт вашему бэкенду.

01

Входящий запрос

Агент присылает запрос с заголовками Signature, Signature-Input и Signature-Agent.

02

Поиск ключа

По keyid находим публичный ключ в кэшированной директории провайдера (JWKS) и при необходимости обновляем её.

03

Проверка подписи

Сверяем Ed25519-подпись, окно created/expires и tag намерения — браузинг или оплата.

04

Вердикт и аналитика

Возвращаем verified, scope и репутацию агента, а событие пишем в аналитику владельца.

Наша ниша

Криптография говорит «кто». Мы говорим «можно ли доверять»

Web Bot Auth и CDN подтверждают, что агент криптографически настоящий. AgentBouncer добавляет слой доверия поверх стандарта: скоупы, репутацию, паспорт владельца и аналитику — для вашего конкретного эндпоинта и за любым хостингом.

Стандарт отвечает на вопрос «кто прислал запрос». Мы отвечаем на вопрос «стоит ли пускать его именно к вашему API».

Поверх стандарта

Используем Web Bot Auth / RFC 9421 как готовый криптофундамент — ничего не изобретаем заново.

Независимость от CDN

Работает за любым хостингом одним вызовом API, а не только за конкретной CDN-сетью.

Репутация и поведение

Считаем reputation score по подписи, velocity и поведенческим аномалиям агента.

Паспорт агента

Делегирование и полномочия владельца через OAuth и Verifiable Credentials.

SDK

Интеграция в одну строку

Подключите проверку агентов к Node, Python или любому бэкенду через REST. Никакой собственной криптографии — просто проверяйте результат.

import { verifyAgent } from "@agentbouncer/sdk";

// Express / Next.js middleware — одна строка
app.use(verifyAgent({ apiKey: process.env.AGENTBOUNCER_KEY }));

app.get("/api/products", (req, res) => {
  if (!req.agent?.verified) return res.status(403).end();
  // req.agent.scope === "agent-payer-auth"
  res.json({ price: 100 });
});
Документация API