Présentation

L’agent ChatGPT signe chaque requête HTTP sortante afin que vous puissiez reconnaître en toute confiance le trafic authentique provenant de ChatGPT. En ajoutant l’agent à la liste d’autorisation dans votre CDN ou votre pare-feu, vous évitez les faux positifs et assurez une expérience fluide aux visiteurs de votre site.

Fonctionnement des signatures de messages

L’agent ChatGPT utilise la norme HTTP Message Signatures (RFC 9421). Chaque requête comprend un ensemble d’en-têtes Signature et Signature-Input, ainsi qu’un en-tête complémentaire Signature-Agent défini à "https://chatgpt.com".

De plus, nous mettons en œuvre ce projet de RFC afin de faciliter la découvrabilité de la clé publique à cette URL :

• https://chatgpt.com/.well-known/http-message-signatures-directory

Votre service en périphérie peut récupérer la clé, valider la signature et confirmer que la requête est authentique.

Ajout à la liste d’autorisation avec Akamai

L’agent ChatGPT est classé dans la catégorie des bots d’intelligence artificielle (AI) de la liste des bots validés par Akamai. Pour autoriser explicitement ChatGPT Agent :

1. Dans votre configuration de sécurité Akamai, ouvrez la politique de sécurité pertinente et sélectionnez Gestion des bots, puis cliquez sur Catégories de bots personnalisées et, sous les paramètres, sélectionnez Gérer les catégories de bots.

2. Ajoutez une nouvelle catégorie de bot et, dans celle-ci, créez un nouveau bot en sélectionnant Type : Défini par Akamai et Nom du bot : ChatGPT Agent.

3. Revenez à Catégories de bots personnalisées et réglez l’action de la nouvelle catégorie de bot sur Autoriser.

Ajout à la liste d’autorisation avec Cloudflare

L’agent ChatGPT est un agent signé dans le répertoire Bots and Agents de Cloudflare (balise chatgpt-agent, ID de détection 129220581).

1. Dans le tableau de bord Cloudflare, ouvrez Sécurité → WAF et créez une nouvelle règle personnalisée.

2. Définissez l’expression à L’ID de détection du bot est égal à et recherchez « ChatGPT Operator » pour trouver l’ID de détection 129220581

3. Enregistrez et déployez la règle.

Ajout à la liste d’autorisation avec HUMAN

HUMAN Sightline

L’agent ChatGPT est un agent AI de confiance dans Bots et crawlers connus de HUMAN. Pour l’autoriser :

1. Dans votre console Sightline ou BD, accédez à Politiques → Paramètres de politique de trafic → Bots et crawlers connus.

2. Recherchez ChatGPT Agent.

3. Réglez la règle sur ACTIVÉ et définissez la réponse de la règle sur Autoriser.

HUMAN AgenticTrust

L’agent ChatGPT est un agent AI de confiance dans AgenticTrust de HUMAN. Il est vérifié de façon cryptographique, et son intention est surveillée à chaque session. Par défaut, il est autorisé à lire, à ouvrir une session et à effectuer des achats. Pour modifier cette configuration :

1. Dans votre console Sightline, ouvrez Politiques → Autorisations des agents AI.

2. Recherchez ChatGPT Agent.

3. Accordez ou révoquez des autorisations précises au besoin.

Ajout à la liste d’autorisation avec Vercel

Si votre site est hébergé sur Vercel, aucune configuration supplémentaire n’est requise pour permettre à ChatGPT Agent d’accéder à votre contenu. Vercel a ajouté ChatGPT Agent (au moyen de chatgpt-operator) à son répertoire des bots vérifiés, et son système de vérification des bots autorise automatiquement nos requêtes par défaut.

Ajout à la liste d’autorisation avec d’autres CDN

Si vous n’utilisez aucun des CDN mentionnés, vous pouvez tout de même faire confiance au trafic de l’agent ChatGPT en vérifiant les en-têtes de requête :

1. Vérifiez que l’en-tête Signature-Agent correspond exactement à "https://chatgpt.com", y compris les guillemets.

2. Récupérez la clé publique associée à la signature à partir de l’endpoint well-known.

3. Vérifiez l’authenticité de l’en-tête Signature comme défini dans la RFC 9421.

Conseils de dépannage

Confirmez que les en-têtes Signature, Signature-Input et Signature-Agent sont conservés par tous les proxys intermédiaires.