OpenAI
Diese Seite wurde maschinell übersetzt. Den Originalartikel auf Englisch ansehen.

Allowlisting für ChatGPT Agent

Sorge dafür, dass Traffic des ChatGPT Agent deine Website sicher und zuverlässig erreicht

Aktualisiert: 7 days ago

Überblick

ChatGPT Agent signiert jede ausgehende HTTP-Anfrage, damit du echten Traffic von ChatGPT zuverlässig erkennen kannst. Wenn du den Agent in deinem CDN oder deiner Firewall auf die Allowlist setzt, vermeidest du Fehlalarme und sorgst für eine reibungslose Erfahrung für die Besuchenden deiner Website.

So funktionieren Nachrichtensignaturen

ChatGPT Agent verwendet den Standard HTTP Message Signatures (RFC 9421). Jede Anfrage enthält die Header Signature und Signature-Input sowie einen zugehörigen Signature-Agent-Header, der auf "https://chatgpt.com" gesetzt ist.

Zusätzlich implementieren wir diesen RFC-Entwurf, damit öffentliche Schlüssel unter dieser URL leichter gefunden werden können:

Dein Edge-Dienst kann den Schlüssel abrufen, die Signatur validieren und bestätigen, dass die Anfrage echt ist.

Allowlisting mit Akamai

ChatGPT Agent ist in der von Akamai validierten Bot-Liste der Kategorie „Artificial Intelligence (AI) bots“ zugeordnet. So lässt du ChatGPT Agent ausdrücklich zu:

  1. Öffne in deiner Akamai Security Configuration die relevante Security Policy, wähle Bot management, klicke dann auf Custom Bot Categories und wähle unter den Einstellungen Manage Bot Categories.

  2. Füge eine neue Bot-Kategorie hinzu und erstelle darin einen neuen Bot. Wähle Type: Akamai-Defined und Bot name: ChatGPT Agent.

  3. Kehre zu Custom Bot Categories zurück und setze die Aktion der neuen Bot-Kategorie auf Allow.

Hinweis: Eine eigene Signaturprüfung ist nicht erforderlich. Akamai übernimmt diese Prüfung für dich.

Allowlisting mit Cloudflare

ChatGPT Agent ist ein signierter Agent im Verzeichnis „Bots and Agents“ von Cloudflare (Tag chatgpt-agent, Erkennungs-ID 129220581).

  1. Öffne im Cloudflare-Dashboard Security → WAF und erstelle eine neue benutzerdefinierte Regel.

  2. Setze den Ausdruck auf Bot Detection ID equals und suche nach „ChatGPT Operator“, um die Erkennungs-ID 129220581 zu finden.

  3. Speichere und veröffentliche die Regel.

Hinweis: Die Regel sollte Anfragen überspringen oder zulassen, wenn die Bot-Erkennungs-ID 129220581 entspricht. Wenn du diese Methode verwendest, ist keine eigene Signaturprüfung erforderlich. Cloudflare übernimmt diese Validierung für dich. Diese Schritte reichen aus, um Traffic des ChatGPT Agent auf die Allowlist zu setzen.

Allowlisting mit HUMAN

HUMAN Sightline

ChatGPT Agent ist ein vertrauenswürdiger AI-Agent in HUMANs Known Bots & Crawlers. So lässt du ihn zu:

  1. Gehe in deiner Sightline- oder BD-Konsole zu Policies → Traffic Policy Settings → Known bots & Crawlers.

  2. Suche nach ChatGPT Agent.

  3. Stelle die Regel auf ON und setze die Regelantwort auf Allow.

HUMAN AgenticTrust

ChatGPT Agent ist ein vertrauenswürdiger AI-Agent in HUMANs AgenticTrust. Er wird kryptografisch verifiziert, und seine Absicht wird in jeder Sitzung überwacht. Standardmäßig darf er lesen, sich anmelden und Käufe tätigen. So änderst du diese Konfiguration:

  1. Öffne in deiner Sightline-Konsole Policies → AI Agents Permissions.

  2. Suche nach ChatGPT Agent.

  3. Erteile oder entziehe bestimmte Berechtigungen nach Bedarf.

Hinweis: Eine eigene Signaturprüfung ist nicht erforderlich. HUMAN übernimmt diese Prüfung für dich.

Allowlisting mit Vercel

Wenn deine Website auf Vercel gehostet wird, ist keine zusätzliche Konfiguration erforderlich, damit ChatGPT Agent auf deine Inhalte zugreifen kann. Vercel hat ChatGPT Agent (über chatgpt-operator) in sein Verified Bot Directory aufgenommen. Das Bot Verification-System lässt unsere Anfragen standardmäßig automatisch zu.

Allowlisting mit anderen CDNs

Wenn du keine der genannten CDNs verwendest, kannst du Traffic des ChatGPT Agent trotzdem vertrauen, indem du die Anfrage-Header prüfst:

  1. Prüfe, ob der Header Signature-Agent exakt "https://chatgpt.com" entspricht, einschließlich der Anführungszeichen.

  2. Rufe den öffentlichen Schlüssel, der zur Signatur gehört, vom bekannten Endpunkt ab.

  3. Prüfe die Echtheit des Headers Signature wie in RFC 9421 definiert.

Tipps zur Fehlerbehebung

Prüfe, ob zwischengeschaltete Proxys die Header Signature, Signature-Input und Signature-Agent unverändert weitergeben.

War dieser Artikel hilfreich?