Como um bot de IA se identifica

A primeira camada de detecção é a mais honesta: o próprio User-Agent. A OpenAI usa tokens como GPTBot, ChatGPT-User e OAI-SearchBot; a xAI identifica seus agentes de forma análoga. Reconhecer essas strings já resolve a maior parte dos casos legítimos.

Mas User-Agent é só texto e pode ser forjado. Por isso a segunda camada é o DNS reverso confirmado (FCrDNS): o IP resolve para um domínio do provedor e o forward bate de volta no mesmo IP. A terceira é cruzar o IP com as faixas oficiais que os provedores publicam.

No MVP ficamos na primeira camada. As outras entram depois, sem mudar o contrato com o nginx — apenas refinam o score.