← 知识库

关于扫描

AgentGrade 如何扫描你的网站

AgentGrade 是一个诊断工具 —— 类似于检测代理就绪程度的 SSL Labs。当用户输入域名时，我们会发送一组有针对性的 HTTP 请求，检查网站暴露了哪些面向代理的能力。

我们检查什么

• 约 15-20 个请求，发送到已知路径（/.well-known/x402.json、/openapi.json、/robots.txt 等）
• 响应中的 HTTP 头部（Payment-Required、WWW-Authenticate、Content-Type）
• 机器可读的配置文件（MCP 清单、AI Plugin 清单、skills.json）
• 身份端点（WebFinger、DID、Nostr NIP-05、AT Protocol）

我们不做什么

• 不爬取。 我们不跟踪链接或发现新 URL。
• 不索引内容。 我们从不读取、存储或索引页面内容。
• 不绕过认证。 我们只检查可公开访问的端点。
• 不持续扫描。 每次扫描都由用户发起，没有自动遍历。

我们存储的数据

我们仅存储扫描元数据：评分、发现了哪些能力以及检测到了哪些支付协议。我们不存储页面内容、响应体或被扫描网站的任何敏感数据。

速率限制

• 每个域名每小时只能扫描一次
• 单个用户受到速率限制以防止滥用
• 每次扫描在约 10 秒内发送约 15-20 个请求

我们的 User-Agent

AgentGrade 的所有请求都通过以下标识进行识别：

AgentGrade/0.2 (+https://agentgrade.com/kb/about-scanning)

AgentGrade 是否遵守 robots.txt？

robots.txt 是供系统性发现和索引内容的搜索引擎爬虫使用的标准。AgentGrade 是网站审计工具，不是爬虫 —— 它不索引或存储你的内容。我们读取你的 robots.txt 是为了评估它，而不是遵循爬取指令。这与 Lighthouse、SecurityHeaders.com 和 SSL Labs 采用的方式相同。

如何退出

你可以通过在防火墙或 WAF 中过滤 User-Agent agentgrade 来屏蔽 AgentGrade。但由于 AgentGrade 只检查你有意公开的面向机器的配置，屏蔽它意味着你将无法了解代理如何感知你的网站。

有问题？

如果你对 AgentGrade 的扫描方式有疑问，请在 GitHub 上提交 issue。

相关

• SKILL.md
• OpenAPI
• A2A
• WebMCP
• llms.txt

相关阅读：什么是 AI 智能体就绪？