Każde żądanie HTTP które trafia na serwer niesie ze sobą zestaw nagłówków. Większość z nich jest techniczna i niewidoczna — informacje o kodowaniu, akceptowanych formatach, długości treści. Jeden z tych nagłówków jest inny. Mówi serwerowi kto puka do drzwi.
Ten nagłówek to User-agent.
Przez dekady działało to prosto i przewidywalnie. Chrome przedstawiał się jako Chrome. Firefox jako Firefox. Googlebot jako Googlebot. Serwer czytał nagłówek, wiedział z kim rozmawia, i odpowiadał odpowiednio — albo serwując stronę, albo blokując dostęp na podstawie robots.txt, albo dostosowując format odpowiedzi.
Potem przyszły agenty AI. I okazało się że system oparty na zaufaniu do deklaracji ma jedną fundamentalną słabość — zakłada że ktoś kto mówi kim jest, faktycznie tym jest.
Czym jest user-agent
User-agent to nagłówek HTTP w którym przeglądarka lub bot deklaruje swoją tożsamość — w świecie agentów AI główna i łatwa do sfałszowania metoda identyfikacji systemów odwiedzających stronę.
Słowo „deklaruje” jest kluczowe. User-agent to nie jest certyfikat tożsamości, nie jest podpisany kryptograficznie, nie jest weryfikowany przez żadną zewnętrzną instancję. To jest ciąg znaków który nadawca wpisuje sam o sobie. Technicznie jedna linia kodu wystarczy żeby zmienić user-agent na dowolny inny.
Dla przeglądarek i szanujących się crawlerów to nigdy nie był problem — Google miał interes w tym żeby Googlebot był rozpoznawany jako Googlebot. Dla agentów AI działających w szarej strefie między indeksowaniem a scrapingiem — nagłówek user-agent stał się pierwszym narzędziem do ominięcia blokad.
Sprawa Perplexity jako case study
W 2025 roku wyszło na jaw że agent Comet używany przez Perplexity do indeksowania stron podawał się w nagłówkach jako zwykła przeglądarka Chrome. Nie jako „PerplexityBot” albo inny identyfikowalny crawler AI — jako Chrome. Efekt był przewidywalny: strony które blokowały znane crawlery AI w robots.txt nie blokowały Chrome, więc Comet wchodził bez ograniczeń.
To nie był błąd techniczny. To była decyzja inżynierska. I to jest dokładnie ta decyzja która pokazuje dlaczego user-agent jest niewystarczającym fundamentem systemu zaufania w Agentic Web.
Jeśli jednolinijkowa zmiana w kodzie agenta pozwala ominąć całą politykę dostępu właściciela strony opartą na user-agencie — ta polityka nie istnieje w sensie technicznym. Istnieje tylko jako deklaracja intencji wobec aktorów którzy chcą ją respektować.
User-agent w robots.txt — i co z tego wynika
robots.txt pozwala właścicielowi strony pisać reguły dla konkretnych user-agentów. Zablokuj GPTBot. Pozwól ClaudeBot. Ogranicz PerplexityBot do jednej sekcji. To jest warstwa kontroli którą branża traktuje poważnie i którą szanujące się systemy AI respektują.
Problem polega na tym że ta kontrola działa tylko dla tych którzy chcą być kontrolowani. Agent który deklaruje że jest Googlebotem albo Chrome’em — nie trafi na regułę blokującą PerplexityBota, nawet jeśli nim jest. Właściciel strony nie ma jak tego wykryć na poziomie nagłówka.
Dlatego user-agent jako mechanizm identyfikacji jest potrzebny, ale niewystarczający. Jest pierwszą warstwą — prostą, tanią, działającą dla uczciwych aktorów. Dla nieuczciwych jest przezroczysty.
Co uzupełnia user-agenta
W ekosystemie Agentic Web user-agent jest punktem wyjścia do identyfikacji, nie punktem docelowym.
Agent fingerprinting uzupełnia go o obserwację wzorców zachowania — niezależnie od tego co agent mówi w nagłówku, sposób w jaki odpytuje zasoby, czas między żądaniami i kolejność odwiedzanych stron tworzą wzorzec który jest trudniejszy do sfałszowania niż jeden nagłówek.
Tożsamość agenta jako szersza kategoria odpowiada na pytanie które user-agent zostawia otwarte: nie tylko kim agent mówi że jest, ale kto go wysłał i czy można to zweryfikować w sposób kryptograficznie pewny.
Na razie — w 2026 roku — większość interakcji między agentami a stronami odbywa się przez user-agent jako jedyną warstwę identyfikacji. Ekosystem zaufania który tę warstwę uzupełni jest budowany, ale jeszcze nie zbudowany.
User-agent jest więc jednocześnie pierwszym narzędziem identyfikacji w Agentic Web i najlepszym dowodem na to że pierwsze narzędzie rzadko jest ostatnim.