agentgrade 如何扫描您的网站
agentgrade 是一个诊断工具 —— 类似于检测代理就绪程度的 SSL Labs。当用户输入域名时,我们会发送一组有针对性的 HTTP 请求,检查网站暴露了哪些面向代理的能力。
我们检查什么
- 约 15-20 个请求,发送到已知路径(
/.well-known/x402.json、/openapi.json、/robots.txt等) - 响应中的 HTTP 头部(Payment-Required、WWW-Authenticate、Content-Type)
- 机器可读的配置文件(MCP 清单、AI Plugin 清单、skills.json)
- 身份端点(WebFinger、DID、Nostr NIP-05、AT Protocol)
我们不做什么
- 不爬取。 我们不跟踪链接或发现新 URL。
- 不索引内容。 我们从不读取、存储或索引页面内容。
- 不绕过认证。 我们只检查可公开访问的端点。
- 不持续扫描。 每次扫描都由用户发起,没有自动遍历。
我们存储的数据
我们仅存储扫描元数据:评分、发现了哪些能力以及检测到了哪些支付协议。我们不存储页面内容、响应体或被扫描网站的任何敏感数据。
速率限制
- 每个域名每小时只能扫描一次
- 单个用户受到速率限制以防止滥用
- 每次扫描在约 10 秒内发送约 15-20 个请求
我们的 User-Agent
agentgrade 的所有请求都通过以下标识进行识别:
agentgrade/0.2 (+https://agentgrade.com/kb/about-scanning)
agentgrade 是否遵守 robots.txt?
robots.txt 是供系统性发现和索引内容的搜索引擎爬虫使用的标准。agentgrade 是网站审计工具,不是爬虫 —— 它不索引或存储您的内容。我们读取您的 robots.txt 是为了评估它,而不是遵循爬取指令。这与 Lighthouse、SecurityHeaders.com 和 SSL Labs 采用的方式相同。
如何退出
您可以通过在防火墙或 WAF 中过滤 User-Agent agentgrade 来屏蔽 agentgrade。但由于 agentgrade 只检查您有意公开的面向机器的配置,屏蔽它意味着您将无法了解代理如何感知您的网站。
有问题?
如果您对 agentgrade 的扫描方式有疑问,请在 GitHub 上提交 issue。