Vue d’ensemble

L’agent ChatGPT signe chaque requête HTTP sortante afin que vous puissiez identifier en toute confiance le trafic authentique provenant de ChatGPT. En autorisant l’agent dans votre CDN ou pare-feu, vous évitez les faux positifs et garantissez une expérience fluide pour les visiteurs de votre site.

Fonctionnement des signatures de message

L’agent ChatGPT utilise le standard HTTP Message Signatures (RFC 9421). Chaque requête inclut des en-têtes Signature et Signature-Input, ainsi qu’un en-tête compagnon Signature-Agent défini sur "https://chatgpt.com".

De plus, nous implémentons ce draft RFC afin de faciliter la découverte de la clé publique à cette URL :

• https://chatgpt.com/.well-known/http-message-signatures-directory

Votre service edge peut récupérer la clé, valider la signature et confirmer que la requête est authentique.

Autorisation avec Akamai

L’agent ChatGPT est classé dans la catégorie des bots d’intelligence artificielle (IA) dans la liste des bots validés par Akamai. Pour autoriser explicitement ChatGPT Agent :

1. Dans votre configuration de sécurité Akamai, ouvrez la stratégie de sécurité concernée et sélectionnez Bot management, puis cliquez sur Custom Bot Categories, et dans les paramètres, sélectionnez Manage Bot Categories.

2. Ajoutez une nouvelle catégorie de bots et, à l’intérieur, créez un nouveau bot en sélectionnant Type : Akamai-Defined et Bot name : ChatGPT Agent.

3. Revenez à Custom Bot Categories et définissez l’action de la nouvelle catégorie de bots sur Allow.

Autorisation avec Cloudflare

L’agent ChatGPT est un agent signé dans le répertoire Bots and Agents de Cloudflare (tag chatgpt-agent, ID de détection 129220581).

1. Dans le tableau de bord Cloudflare, ouvrez Security → WAF et créez une nouvelle règle personnalisée.

2. Définissez l’expression sur Bot Detection ID equals et recherchez « ChatGPT Operator » pour trouver l’ID de détection 129220581

3. Enregistrez et déployez la règle.

Autorisation avec HUMAN

HUMAN Sightline

L’agent ChatGPT est un agent IA de confiance dans Known Bots & Crawlers de HUMAN.
Pour l’autoriser :

1. Dans votre console Sightline ou BD, allez dans Policies → Traffic Policy Settings → Known bots & Crawlers.

2. Recherchez ChatGPT Agent.

3. Faites passer la règle sur ON et définissez la réponse de la règle sur Allow.

HUMAN AgenticTrust

L’agent ChatGPT est un agent IA de confiance dans AgenticTrust de HUMAN. Il est vérifié cryptographiquement, et son intention est surveillée à chaque session. Par défaut, il est autorisé à lire, à se connecter et à effectuer des achats.
Pour modifier cette configuration :

1. Dans votre console Sightline, ouvrez Policies → AI Agents Permissions.

2. Recherchez ChatGPT Agent.

3. Accordez ou révoquez des autorisations spécifiques selon vos besoins.

Autorisation avec Vercel

Si votre site est hébergé sur Vercel, aucune configuration supplémentaire n’est nécessaire pour permettre à ChatGPT Agent d’accéder à votre contenu. Vercel a ajouté ChatGPT Agent (via chatgpt-operator) à son Verified Bot Directory, et son système de Bot Verification autorise automatiquement nos requêtes par défaut.

Autorisation avec d’autres CDN

Si vous n’utilisez aucun des CDN mentionnés, vous pouvez tout de même faire confiance au trafic de l’agent ChatGPT en vérifiant les en-têtes de requête :

1. Vérifiez que l’en-tête Signature-Agent correspond exactement à "https://chatgpt.com", y compris les guillemets.

2. Récupérez la clé publique associée à la signature depuis le point de terminaison well-known.

3. Vérifiez l’authenticité de l’en-tête Signature tel que défini dans la RFC 9421.

Conseils de dépannage

Vérifiez que les en-têtes Signature, Signature-Input et Signature-Agent sont bien préservés par les éventuels proxys intermédiaires.