Resumen
El agente de ChatGPT firma cada solicitud HTTP saliente para que puedas identificar con confianza el tráfico auténtico de ChatGPT. Al incluir el agente en la lista de permitidos de tu CDN o firewall, evitas falsos positivos y garantizas una experiencia fluida para los visitantes de tu sitio.
Cómo funcionan las firmas de mensajes
El agente de ChatGPT utiliza el estándar de firmas de mensajes HTTP (RFC 9421). Cada solicitud incluye un conjunto de cabeceras Signature y Signature-Input, así como una cabecera Signature-Agent complementaria con el valor "https://chatgpt.com".
Además, implementamos este borrador de RFC para facilitar el descubrimiento de claves públicas en esta URL:
Tu servicio perimetral puede recuperar la clave, validar la firma y confirmar que la solicitud es auténtica.
Incluir en la lista de permitidos con Akamai
El agente de ChatGPT está clasificado en la categoría de bots de inteligencia artificial (IA) de la lista de bots validados por Akamai. Para permitir explícitamente ChatGPT Agent:
En tu configuración de seguridad de Akamai, abre la política de seguridad correspondiente y selecciona Gestión de bots; después, haz clic en Categorías de bots personalizadas y, en la configuración, selecciona Gestionar categorías de bots.
Añade una nueva categoría de bots y, dentro de ella, crea un nuevo bot seleccionando tipo: definido por Akamai y nombre del bot: ChatGPT Agent.
Vuelve a Categorías de bots personalizadas y establece la acción de la nueva categoría de bots en Permitir.
Nota: No se requiere ninguna verificación de firma personalizada. Akamai realiza esta verificación por ti.
Incluir en la lista de permitidos con Cloudflare
El agente de ChatGPT es un agente firmado en el directorio de bots y agentes de Cloudflare (etiqueta chatgpt-agent, ID de detección 129220581).
En el panel de Cloudflare, abre Seguridad → WAF y crea una nueva regla personalizada.
Establece la expresión en ID de detección de bots igual a y busca «ChatGPT Operator» para encontrar el ID de detección
129220581Guarda e implementa la regla.
Nota: La regla debe omitir o permitir las solicitudes cuando el ID de detección de bots sea igual a 129220581. No se requiere ninguna verificación de firma personalizada si se utiliza este método; Cloudflare realiza esta validación por ti. Estos pasos por sí solos son suficientes para permitir el tráfico del agente de ChatGPT.
Incluir en la lista de permitidos con HUMAN
HUMAN Sightline
El agente de ChatGPT es un agente de IA de confianza en Bots y rastreadores conocidos de HUMAN. Para permitirlo:
En tu consola de Sightline o BD, ve a Políticas → Configuración de políticas de tráfico → Bots y rastreadores conocidos.
Busca ChatGPT Agent.
Cambia la regla a ACTIVADA y establece la respuesta de la regla en Permitir.
HUMAN AgenticTrust
El agente de ChatGPT es un agente de IA de confianza en AgenticTrust de HUMAN. Se verifica criptográficamente y su intención se supervisa en cada sesión. De forma predeterminada, tiene permiso para leer, iniciar sesión y realizar compras. Para modificar esta configuración:
En tu consola de Sightline, abre Políticas → Permisos de agentes de IA.
Busca ChatGPT Agent.
Concede o revoca permisos específicos según sea necesario.
Nota: No se requiere ninguna verificación de firma personalizada; HUMAN realiza esta verificación por ti.
Incluir en la lista de permitidos con Vercel
Si tu sitio está alojado en Vercel, no se requiere configuración adicional para permitir que ChatGPT Agent acceda a tu contenido. Vercel ha añadido ChatGPT Agent (mediante chatgpt-operator) a su Directorio de bots verificados, y su sistema de verificación de bots permite automáticamente nuestras solicitudes de forma predeterminada.
Incluir en la lista de permitidos con otras CDN
Si no utilizas ninguna de las CDN mencionadas, aún puedes confiar en el tráfico del agente de ChatGPT comprobando las cabeceras de la solicitud:
Verifica que la cabecera
Signature-Agentcoincida exactamente con"https://chatgpt.com", incluidas las comillas.Obtén la clave pública asociada a la firma desde el punto de acceso conocido.
Verifica la autenticidad de la cabecera
Signaturetal como se define en RFC 9421.
Consejos para solucionar problemas
Confirma que las cabeceras Signature, Signature-Input y Signature-Agent se conserven en todos los proxies intermedios.
