## agentgrade 如何扫描你的网站

agentgrade 是一个诊断工具 —— 类似于检测代理就绪程度的 SSL Labs。当用户输入域名时，我们会发送一组有针对性的 HTTP 请求，检查网站暴露了哪些面向代理的能力。

### 我们检查什么

- **约 15-20 个请求**，发送到已知路径（`/.well-known/x402.json`、`/openapi.json`、`/robots.txt` 等）
- 响应中的 **HTTP 头部**（Payment-Required、WWW-Authenticate、Content-Type）
- **机器可读的配置文件**（[MCP](/kb/zh/mcp) 清单、AI Plugin 清单、skills.json）
- **身份端点**（WebFinger、DID、Nostr NIP-05、AT Protocol）

### 我们不做什么

- **不爬取。** 我们不跟踪链接或发现新 URL。
- **不索引内容。** 我们从不读取、存储或索引页面内容。
- **不绕过认证。** 我们只检查可公开访问的端点。
- **不持续扫描。** 每次扫描都由用户发起，没有自动遍历。

## 我们存储的数据

我们仅存储扫描**元数据**：评分、发现了哪些能力以及检测到了哪些支付协议。我们不存储页面内容、响应体或被扫描网站的任何敏感数据。

## 速率限制

- 每个域名**每小时只能扫描一次**
- 单个用户受到速率限制以防止滥用
- 每次扫描在约 10 秒内发送约 15-20 个请求

## 我们的 User-Agent

agentgrade 的所有请求都通过以下标识进行识别：

```
agentgrade/0.2 (+https://agentgrade.com/kb/about-scanning)
```

## agentgrade 是否遵守 [robots.txt](/kb/zh/robots-txt)？

robots.txt 是供系统性发现和索引内容的搜索引擎爬虫使用的标准。agentgrade 是网站审计工具，不是爬虫 —— 它不索引或存储你的内容。我们读取你的 robots.txt 是为了**评估**它，而不是遵循爬取指令。这与 Lighthouse、SecurityHeaders.com 和 SSL Labs 采用的方式相同。

## 如何退出

你可以通过在防火墙或 WAF 中过滤 User-Agent `agentgrade` 来屏蔽 agentgrade。但由于 agentgrade 只检查你有意公开的面向机器的配置，屏蔽它意味着你将无法了解代理如何感知你的网站。

## 有问题？

如果你对 agentgrade 的扫描方式有疑问，请在 [GitHub](https://github.com/aluminumio/agentgrade) 上提交 issue。

## 相关

- [SKILL.md](/kb/zh/skills)
- [OpenAPI](/kb/zh/openapi)
- [A2A](/kb/zh/a2a)
- [WebMCP](/kb/zh/webmcp)
- [llms.txt](/kb/zh/llms-txt)