そうだね、でも「1分間に39,000リクエスト」を生成してるなら、どこかで何かおかしくなってるんじゃない？

私の個人的な経験では、OpenAIのクローラーが私が管理してる非常に低トラフィックなウェブサイトに対して、1分間に何万回もアクセスしてきて、止まらなかったから、Cloudflareでブロックしなきゃいけなかった。

CloudflareみたいなCDNは最高だよ。Anubisは小さなウェブサイト向けのレートリミッターで、CloudflareみたいなCDNを使えない場合に役立つ。中規模のウェブサイトでCloudflareを使ったことがあるけど、すごくうまくいったよ。Anubisのクリエイターも同じこと言ってるしね。

「ほとんどの場合、これを必要としないし、Cloudflareを使って特定のオリジンを守ることで十分だと思う。でも、Cloudflareを使えない状況ではAnubisが助けてくれる。」 出典: https://github.com/TecharoHQ/anubis

robots.txtは、ちゃんとしたボットには効果的だけど、悪質なスクレイピングボットには全然効かないよね。OpenAIとかは大体ちゃんとしてるけど、少なくとも一つの大きなネットワークがrobots.txtを無視して、ユーザーエージェントを偽装（だいたい古いChromeバージョンに）して、何百万もの住宅プロキシIPを使い回してる。自分のサイトでは、このネットワークが一番の悪党で、OpenAIみたいな「ちゃんとした」ボットはほとんど目立たない。こういう悪質なボットを止めるには、Cloudflareがいい解決策だよ。使うのに抵抗がなければ、全ユーザーと全ページに基本的なブラウザチェックを有効にするか、特定のユーザーやページにだけチェックを出すカスタムルールを書けばいい。Cloudflareが嫌なら、Anubisも今のところは悪くないよ、ブランド名が気にならなければね。今使ってるCloudflareのルールはこれだよ（ボットトラフィックの大半はこの国から来てる）: ip.src.continent in {"AF" "SA"} or ip.src.country in {"CN" "HK" "SG"} or ip.src.country in {"AE" "AO" "AR" "AZ" "BD" "BR" "CL" "CO" "DZ" "EC" "EG" "ET" "ID" "IL" "IN" "IQ" "JM" "JO" "KE" "KZ" "LB" "MA" "MX" "NP" "OM" "PE" "PK" "PS" "PY" "SA" "TN" "TR" "TT" "UA" "UY" "UZ" "VE" "VN" "ZA"} or ip.src.asnum in {28573 45899 55836}

CloudFlareのスーパーボットファイトモードのおかげで、大きなフォーラムのボットトラフィックが完全に止まったよ。

僕の雇い主であるRead the Docsが、これらのボットに何千ドルも叩かれた件についてのブログを持ってるよ（https://about.readthedocs.com/blog/2024/07/ai-crawlers-abuse...）。公平を期すために言うと、最もひどく攻撃してきたAI企業は、帯域幅の請求書を補償してくれたんだ。そこからいくつかの対策を講じたよ： - IPごとにかなり寛大なレート制限ルールを設けてたけど（約4ヒット/秒持続）、一部のクローラーは何千ものIPを使ってきた。CloudflareはAIクローラーボットのリストを更新してる（https://developers.cloudflare.com/bots/additional-configurat...）。このリストを使って、これらのボットや新たに追加されたボットをブロックしてる。 - 一般的なホスティングプロバイダー（例えばAWS、GCP、Azure）に対して、ASNごとにもっと厳しいレート制限ルールを設けて、これらのボットにも影響を与えてる。 - IPによるレート制限に加えて、ユーザーエージェントによるレート制限も考えてる。これで、ちゃんとしたAIクローラーは許可しつつ、悪さをするやつをブロックできる。クローラー全般には反対してないよ。 - 特定のトラフィック量（約50kのキャッシュされてないリクエスト/分持続）を超えたらアラートが来るルールも作った。これって、だいたい新しいボットが最大限に働いてる時で、たいていはAIクローラーなんだ。これが月に1回くらいあって、すぐにバンしてる。オートスケーリングのおかげで、インフラが十分に良くなって、大きなトラフィックの急増にも気づかなくなった。ただ、そのせいでAIクローラーが目立たずに攻撃してくることもあったけど。レート制限を賢く使うのが大事だね。

何についての話？人々がどんなことを聞いてサイトが溢れるのか、ちょっと気になる。

完全に同意するよ。マクロインセクトフォビア（大きな虫や多くの虫（または虫に似た生き物）への恐怖）を持つ者として、実際に見るとすごく不快になる。パニックモードに入るほどではないけど、ほんとに気持ち悪い。

これ、私たちにとって最高だね！

公開されているデータベースの部分を更新してないなら、キャッシュ戦略を考えて、Cloudflareに負担をかけさせるのもアリかも。

サイトにロボットしかアクセスしない隠れたハニーポットリンクを設置してみて。robots.txtには載せないようにして、できれば禁止する設定もしておく。そこのリンクにアクセスしたIPは、fail2banとかで1日バンするルールを設定するといいよ。

今のところ、ダッシュボードが熱くなり始めたときに反応するサーモスタットが欲しいな（いつも同じ奴らがサーバースパイクを引き起こしてるから）。それでCloudflareの攻撃モードをオンにしてくれるやつ……最近はWordPressじゃないものを運営するのが本当に馬鹿らしい。

ああ、jerred@shepherd.comから俺を止めたのは君か！

自分はAI好きってわけじゃないけど、この問題は特にAIに関係ないよ。単に、いくつかの欲深い企業が、robots.txtを無視したり、適切なUA文字列を使わなかったり、レート制限をしなかったりするような、信じられないほどひどいクローラーを作ってるだけ。こういう状況は、AIブームよりも前に、別の理由で簡単に起こり得たと思う。

これはAIが何かを壊してるわけじゃないよ。企業が壊してるだけ。昔から変わらない。法的な法人が存在するのに、SFの非人間的な存在なんて必要ない。彼らは人々が理解できない新しいテクノロジーに飛びついて、自分たちをそれに結びつけようとして、金儲けのためにダメージを与えてる。ほとんど失敗することが多いけどね。実際の人間は、$techthingの詐欺的な企業バージョンしか見たり関わったりしないから、$techthing = 企業の行動だと思っちゃうんだよね。それに、サービスを拒否したり、人間がウェブサイトにアクセスできないようにするのは、Cloudflareが「AI」関連の企業やそのクソみたいなクローラーよりも、1日でずっと多くのダメージを与えてるよ。

データを受け取りたくないなら、受け取らなければいい。データを送信したくないなら、送らなければいい。誰も俺のIPからトラフィックを受け取ったり、送ったりするように頼んでないよ。君はただサーバーをそのように設定しただけだ。まあ、HNの名言を借りるなら「君のビジネスモデルは俺の問題じゃない」ってことさ。俺のトラフィックがいらないなら、俺から切り離してくれ。

AIは、派手なSFのように社会を傷つけるんじゃなくて、インターネット上の他の人たちの犠牲の上に利益を集中させることで社会をダメにする。10点満点。特に言うことなし。

これはAIの話じゃないよ。これは数社の企業が悪いネット市民になって、インフラを悪用してるだけ。検索エンジン運営者には、こういうインセンティブが元々あったんだ。

それ、めっちゃ面白いね。自分もこれを設定してみたいな。

自分の場合はOpenAIだった。GTPBotが約5週間、1秒あたり0.87リクエストでハニーポットを叩いてきた。他のクローラーはトラフィックの2%しかなかった。合計で180万リクエスト、4GiBのトラフィック。で、理由はわからないけど急に止まった。

タールピットを作って、見た目は本物っぽいけど偽のコンテンツを提供する。毒を盛れ。