## agentgradeがサイトをスキャンする仕組み

agentgradeは診断ツールです。SSL Labsのエージェント対応版と考えてください。ドメインが入力されると、サイトが公開しているエージェント向けケイパビリティを確認するために、少数のターゲットHTTPリクエストを送信します。

### チェック内容

- 既知のパス（`/.well-known/x402.json`、`/openapi.json`、`/robots.txt` など）への**約15〜20リクエスト**
- レスポンスの**HTTPヘッダー**（Payment-Required、WWW-Authenticate、Content-Type）
- **機械可読設定ファイル**（[MCP](/kb/ja/mcp)マニフェスト、AI Pluginマニフェスト、skills.json）
- **アイデンティティエンドポイント**（WebFinger、DID、Nostr NIP-05、AT Protocol）

### 行わないこと

- **クロールは行いません。** リンクをたどったり、新しいURLを発見したりしません。
- **コンテンツのインデックスは行いません。** ページコンテンツの読み取り、保存、インデックスは一切しません。
- **認証のバイパスは行いません。** 公開アクセス可能なエンドポイントのみをチェックします。
- **継続的なスキャンは行いません。** すべてのスキャンはユーザーが開始します。自律的な巡回はありません。

## 保存するデータ

保存するのはスキャンの**メタデータのみ**です：スコア、検出されたケイパビリティ、検出された決済プロトコル。ページコンテンツ、レスポンスボディ、スキャン対象サイトの機密データは保存しません。

## レート制限

- 各ドメインのスキャンは**1時間に1回**のみ可能
- 不正利用防止のため、個々のユーザーにはレート制限が適用されます
- 各スキャンは約10秒間に約15〜20リクエストを送信します

## User-Agent

agentgradeからのすべてのリクエストは、以下のUser-Agentで自身を識別します：

```
agentgrade/0.2 (+https://agentgrade.com/kb/about-scanning)
```

## agentgradeは[robots.txt](/kb/ja/robots-txt)を尊重しますか？

robots.txtは、コンテンツを体系的に発見・インデックスする検索エンジンクローラー向けの標準です。agentgradeはクローラーではなくサイト監査ツールであり、コンテンツのインデックスや保存は行いません。robots.txtはクロールディレクティブに従うためではなく、**評価する**ために読み取ります。これはLighthouse、SecurityHeaders.com、SSL Labsと同じアプローチです。

## オプトアウトの方法

ファイアウォールまたはWAFでUser-Agent `agentgrade` をフィルタリングすることで、agentgradeをブロックできます。ただし、agentgradeは意図的に公開されているマシン向け設定のみを確認するため、ブロックするとエージェントがサイトをどのように認識しているかの可視性を失うことになります。

## ご質問は？

agentgradeのスキャン方法についてご質問がある場合は、[GitHub](https://github.com/aluminumio/agentgrade)でIssueを作成してください。

## 関連

- [SKILL.md](/kb/ja/skills)
- [OpenAPI](/kb/ja/openapi)
- [A2A](/kb/ja/a2a)
- [WebMCP](/kb/ja/webmcp)
- [llms.txt](/kb/ja/llms-txt)