Web Bot Auth ist ein Verfahren, mit dem sich automatisierte Clients wie KI-Agenten und Crawler kryptografisch gegenüber einer Website ausweisen — auf Basis signierter HTTP-Nachrichten (HTTP Message Signatures, RFC 9421). Statt Bots nur über leicht fälschbare User-Agents oder IP-Listen zu erkennen, kann eine Seite so verifizierte, legitime Agenten gezielt zulassen und unerwünschte oder bösartige Bots blocken.
Klassische Bot-Erkennung stützt sich auf User-Agent-Strings und IP-Bereiche — beides ist fälschbar. Mit dem Aufkommen vieler KI-Agenten braucht es einen verlässlichen Weg, gute von schlechten Bots zu unterscheiden.
Und das idealerweise, ohne echte Nutzer mit Captchas und Klickrätseln zu belästigen.
Der Agent signiert seine Anfrage mit einem privaten Schlüssel; sein öffentlicher Schlüssel ist über ein bekanntes Verzeichnis auffindbar. Die Website prüft die Signatur und weiß dann sicher, welcher Agent anfragt.
Das ist Identität statt Vermutung: Nicht mehr raten anhand des User-Agents, sondern kryptografisch belegen, wer da klopft.
Wer legitime KI-Agenten auf gutem Weg hereinlässt und Missbrauch blockt, ist im Agenten-Web zugänglich, ohne Sicherheit zu opfern.
Das ist die Grundlage, um an Agentic Commerce und KI-Traffic teilzunehmen und zugleich Bot-Abuse zu begrenzen — statt pauschal alle Automaten auszusperren.
Web Bot Auth baut auf etablierten IETF-Standards für HTTP Message Signatures (RFC 9421) auf und wird von mehreren Infrastruktur-Anbietern vorangetrieben. Die Verbreitung wächst, ist aber noch früh.
Für verifizierte Agenten ja — sie müssen keinen Menschentest bestehen. Für unbekannte Clients bleibt eine Absicherung nötig; ideal ist eine Kombination aus Verifikation und unsichtbarem Schutz.
Du kannst gute Agenten, die deine Inhalte für KI-Antworten nutzen, gezielt zulassen und schädliche Bots blocken — ohne echte Besucher zu behindern.