QUELLE: Search Engine Journal
Veröffentlicht: 2026-05-06
Autor: Berndt Schwanenmeisterja | Seoholics
Lesezeit: 2 min
Google testet Web Bot Authentifizierung für KI-Agenten-Anfragen
Google führt Tests mit der Web Bot Authentifizierung (WBA) durch, um die Echtheit von Anfragen bestimmter KI-Agenten zu verifizieren. Dies geschieht durch kryptografische Signaturen, die neben bestehenden Methoden wie IP-Adressen und User-Agent-Strings eingesetzt werden.
Die Fakten
- Neues Protokoll: Google testet WBA basierend auf HTTP Message Signatures (RFC 9421), einem IETF-Standard.
- Identitätsnachweis: KI-Agenten signieren HTTP-Requests mit privaten Schlüsseln und veröffentlichen ihre öffentlichen Schlüssel unter https://agent.bot.goog.
- Unterstützung durch bestehende Infrastruktur: Bot-Detection-Services, CDNs und WAFs unterstützen WBA bereits. Laut Google sind 100% der WAFs, die von den Top 10 Cloud-Anbietern angeboten werden, mit WBA kompatibel.
- Teilweise Implementierung: Bisher sind nur ein Teil der Google-Agenten betroffen – insbesondere der „Google-Agent user-triggered fetcher“. Nicht jede Anfrage dieser Agenten ist signiert.
- Aktuelle Empfehlung: Google empfiehlt weiterhin die Nutzung von IP-Adressen, Reverse-DNS und User-Agent-Strings als primäre Verifizierungsmethode, während WBA als zusätzliche Sicherheitsebene dient.
Was bedeutet das für Dich?
- Beobachtung des Traffics: Überwachen Sie Ihre Serverlogs auf Anfragen mit dem Header
Signature-Agent: g="https://agent.bot.goog". Dies signalisiert eine signierte Anfrage von einem Google-Agenten. - Prüfung der WAF-Konfiguration: Wenn Sie eine Web Application Firewall (WAF) verwenden, prüfen Sie, ob diese WBA automatisch unterstützt und aktiviert ist.
- Keine voreiligen Änderungen: Ändern Sie derzeit nicht Ihre bestehenden Bot-Detection-Mechanismen. WBA ist noch im Teststadium und sollte als ergänzende Maßnahme betrachtet werden.
- Dokumentation prüfen: Machen Sie sich mit der offiziellen Google-Dokumentation zu WBA vertraut, um die technischen Details zu verstehen.
- Integration planen: Sollten Sie eigene Bot-Detection-Systeme betreiben, prüfen Sie die Möglichkeit der Integration von WBA in Zukunft.
Experten-Meinung
„Web Bot Auth bietet eine vielversprechende Lösung für das Problem der Bot-Impersonation. Die kryptografische Signatur macht es deutlich schwieriger für bösartige Akteure, sich als legitime Crawler auszugeben,“
Dies ist besonders wichtig im Hinblick auf die zunehmende Nutzung von KI-Agenten im Web. Die Unterscheidung zwischen echten und gefälschten Agenten wird immer kritischer. Ähnliche Herausforderungen und Lösungsansätze werden auch in Bezug auf Google KI-Agenten diskutiert.
Daten und Zahlen
Laut Google unterstützen 100% der WAFs, die von den Top 10 Cloud-Anbietern angeboten werden, bereits Web Bot Auth. Die IETF Web Bot Auth Working Group wurde im Frühjahr 2026 gegründet und plant bis 2027 Standardspezifikationen zu veröffentlichen. Aktuell sind nur einige KI-Agenten von Google an den Tests beteiligt, die genaue Anzahl ist nicht öffentlich bekannt.
Ausblick
WBA befindet sich noch in der Entwicklungsphase und wird voraussichtlich in den kommenden Monaten und Jahren weiter verbessert und standardisiert werden. Es ist zu erwarten, dass immer mehr KI-Agenten und Webdienste WBA adoptieren werden. Die zentrale Frage ist, ob und wie Hosting-Provider die Verifizierung automatisiert anbieten werden, um Website-Betreibern die Implementierung zu erleichtern. Die Google DeepMind Blog könnte weitere Informationen zu zukünftigen Entwicklungen liefern.