跳转到主要内容

OTR-ID 生命周期

11.1 什么是 OTR-ID

OTR-ID 是为每个已评估的商业域名生成的确定性唯一标识符。 格式OTR-1{模式}-{指纹}-{校验码}
  • 模式C = COLD(公开评估),A = AUTH(商户授权)
  • 指纹:域名 SHA-256 哈希的前 12 位大写十六进制字符
  • 校验码:2 位 Base36 字符(Luhn mod-36 + 确定性盐值)
特性
  • 确定性:相同域名始终生成相同指纹
  • 不可逆:SHA-256 单向函数,无法反推原始域名
  • 仅签发给信任分数大于 0 的商业站(ecommerce/saas)

11.2 状态生命周期

OTR-ID 有五种状态,通过共享常量(OTR_ID_STATUS)统一管理:
状态含义恢复方式
ACTIVE正常,信任评分有效
UPGRADED商户已授权(AUTH 模式)
SUSPENDED反欺诈触发(分数强制为 0)分数恢复后自动恢复
REVOKED永久撤销 — 身份变更、Google Web Risk 标记或站点死亡需 SmartRescan 全量重扫
NOT_APPLICABLE非商业站 — 不评分、不签发 OTR-ID重新分类为商业站后自动签发

状态转换

首次扫描(商业站,分数 > 0)→ ACTIVE
  ├── 商户授权 → UPGRADED
  ├── 反欺诈触发 → SUSPENDED → 分数恢复 → ACTIVE
  ├── 身份变更 / Web Risk / 站点死亡 → REVOKED(永久)
  └── 重分类为非商业站 → NOT_APPLICABLE → 重分类回商业站 → 新 ACTIVE

REVOKED 与 NOT_APPLICABLE 的区别

  • REVOKED:域名身份发生变化、被标记为危险或站点已死亡。OTR-ID 被永久移除,需要 SmartRescan 全量重扫后才能签发新 ID。
  • NOT_APPLICABLE:站点是非商业类型,不需要 OTR-ID。如果站点增加了商业功能并被重新分类,会自动生成新的 OTR-ID。

11.3 非商业站点

非商业站(政府、教育、金融机构、非营利组织)获得 NOT_APPLICABLE 状态:
  • 身份验证照常运行(GLEIF、Wikidata、SSL)
  • 不计算信任分数
  • 不签发 OTR-ID
  • API 返回身份信号和安全数据
  • 重新分类为商业站后,正常签发新 OTR-ID

11.4 停靠域名

停靠或出售域名获得 NOT_APPLICABLEsiteStatus = PARKED
  • 通过 15+ 域名注册商 HTML 模式匹配和指纹分析检测
  • 不执行 backfill、评分、不签发 OTR-ID
  • 域名恢复活跃后,SmartRescan 检测到变化并重新进入管道

11.5 使用 OTR-ID

在 agent.json 中声明

{
  "trust": {
    "otr_id": "OTR-1C-2265CBCC4D1E-R3"
  }
}

在 API 响应中

验证 API 返回 otrIdotrIdStatus,AI 代理应同时检查: 
{
  "otrId": "OTR-1C-2265CBCC4D1E-R3",
  "otrIdStatus": "ACTIVE"
}
非商业站点: 
{
  "otrId": "",
  "otrIdStatus": "NOT_APPLICABLE"
}

在商务协议中

在 UCP、ACP、MCP 交互中,OTR-ID 作为商户身份的补充验证。
下一章实战案例 — OTR 信任评分的真实应用案例