Panoramica
L’agente ChatGPT firma ogni richiesta HTTP in uscita, così puoi identificare con sicurezza il traffico autentico proveniente da ChatGPT. Inserendo l’agente nella allowlist del tuo CDN o firewall, eviti falsi positivi e garantisci un’esperienza fluida ai visitatori del tuo sito.
Come funzionano le firme dei messaggi
L’agente ChatGPT utilizza lo standard HTTP Message Signatures (RFC 9421). Ogni richiesta include un insieme di header Signature e Signature-Input e un header complementare Signature-Agent impostato su "https://chatgpt.com".
Inoltre, implementiamo questa bozza di RFC per facilitare la reperibilità della chiave pubblica a questo URL:
Il tuo servizio edge può recuperare la chiave, convalidare la firma e confermare che la richiesta è autentica.
Allowlisting con Akamai
L’agente ChatGPT è categorizzato nella categoria bot Artificial Intelligence (AI) nell’elenco dei bot convalidati da Akamai. Per consentire esplicitamente ChatGPT Agent:
Nella tua Akamai Security Configuration, apri la Security Policy pertinente e seleziona Bot management, quindi fai clic su Custom Bot Categories e, nelle impostazioni, seleziona Manage Bot Categories.
Aggiungi una nuova categoria di bot e, al suo interno, crea un nuovo bot selezionando Type: Akamai-Defined e Bot name: ChatGPT Agent.
Torna a Custom Bot Categories e imposta l’azione della nuova categoria di bot su Allow.
Nota: Non è necessaria alcuna verifica personalizzata della firma. Akamai esegue questa verifica per te.
Allowlisting con Cloudflare
L’agente ChatGPT è un signed agent nella directory Bots and Agents di Cloudflare (tag chatgpt-agent, detection ID 129220581).
Nella dashboard di Cloudflare, apri Security → WAF e crea una nuova regola personalizzata.
Imposta l’espressione su Bot Detection ID equals e cerca "ChatGPT Operator" per trovare il detection ID
129220581Salva e distribuisci la regola.
Nota: La regola dovrebbe ignorare o consentire le richieste quando il bot detection ID è uguale a 129220581. Non è necessaria alcuna verifica personalizzata della firma se usi questo metodo: Cloudflare esegue questa convalida per te. Questi passaggi da soli sono sufficienti per inserire nella allowlist il traffico dell’agente ChatGPT.
Allowlisting con HUMAN
HUMAN Sightline
L’agente ChatGPT è un agente AI affidabile in Known Bots & Crawlers di HUMAN.
Per consentirlo:
Nella console Sightline o BD, vai su Policies → Traffic Policy Settings → Known bots & Crawlers.
Cerca ChatGPT Agent.
Imposta la regola su ON e imposta la risposta della regola su Allow.
HUMAN AgenticTrust
L’agente ChatGPT è un agente AI affidabile in AgenticTrust di HUMAN. È verificato crittograficamente e la sua intenzione viene monitorata in ogni sessione. Per impostazione predefinita, è autorizzato a leggere, accedere e effettuare acquisti.
Per modificare questa configurazione:
Nella console Sightline, apri Policies → AI Agents Permissions.
Cerca ChatGPT Agent.
Concedi o revoca autorizzazioni specifiche in base alle esigenze.
Nota: Non è necessaria alcuna verifica personalizzata della firma: HUMAN esegue questa verifica per te.
Allowlisting con Vercel
Se il tuo sito è ospitato su Vercel, non è necessaria alcuna configurazione aggiuntiva per consentire a ChatGPT Agent di accedere ai tuoi contenuti. Vercel ha aggiunto ChatGPT Agent (tramite chatgpt-operator) alla propria Verified Bot Directory e il loro sistema di Bot Verification consente automaticamente le nostre richieste per impostazione predefinita.
Allowlisting con altri CDN
Se non utilizzi nessuno dei CDN menzionati, puoi comunque fidarti del traffico dell’agente ChatGPT verificando gli header della richiesta:
Verifica che l’header
Signature-Agentcorrisponda esattamente a"https://chatgpt.com", incluse le virgolette.Recupera la chiave pubblica associata alla firma dal well-known endpoint.
Verifica l’autenticità dell’header
Signaturecome definito in RFC 9421.
Suggerimenti per la risoluzione dei problemi
Conferma che gli header Signature, Signature-Input e Signature-Agent siano preservati da eventuali proxy intermedi.