← Reports
2026-04-22· first post· 4 min read

Hello, world.

Z-Gate's first report. What it is, why it exists, where it's going.

This is Z-Gate. First post.

What Z-Gate is

Z-Gate is a bot-detection and agentic-web observability platform. You put a script tag on your site. Z-Gate scores every visitor — human, verified AI agent, spoofer pretending to be Googlebot — and tells you why. Every score maps to exactly which of 100+ signals fired and at what weight.

No CAPTCHA. No black box. No "contact sales."

Why Z-Gate exists

The market has a shape problem. Every existing bot-detection vendor is enterprise-priced, enterprise-sold, and enterprise-opaque. The top-shelf vendors won't quote under $50K/year. DataDome requires a six-month procurement cycle. Cloudflare only protects Cloudflare customers. hCaptcha is a glorified maze for humans. Fingerprint.com charges $99/month and hands back a "bot confidence" score with no reasoning.

Meanwhile 2026 is the year bots stopped being just bots. GPTBot crawls for training. PerplexityBot crawls to cite pages in an AI search answer. ChatGPT-User acts on behalf of a logged-in human trying to book a hotel. Claude-User does the same. Googlebot and Bingbot still index. Monitoring scripts still ping. These are five completely different kinds of visitors. No existing tool lets a self-serve developer observe them separately, let alone set policy per kind.

Z-Gate is the opinionated, explainable, self-serve alternative.

What's shipped today

  • 100+ detection signals — behavioral biometrics (mouse jerk, typing variance, click overshoot), device fingerprinting, environment probes, cryptographic proof chains.
  • RFC 9421 cryptographic bot verification. Bots that sign their requests (OpenAI, Cloudflare, Perplexity) land at Tier 1 with operator attribution. Everyone else falls down a 4-tier ladder automatically.
  • 3-axis AI-agent classification. Every AI actor tagged by Operator × Purpose × Accountability. 33 known operators. 6 purposes.
  • Explainable scoring. Every block has a reason. Every reason has a signal.
  • Clean UX analytics. Heatmaps, scroll depth, rage clicks, form-field drop-off — filterable by identity. The bot-free Hotjar.
  • Gatekeeper. When scoring isn't enough, a 30-second chat challenge instead of a CAPTCHA.

Free tier covers 100K sessions/month. No credit card.

The thesis

The agentic web doesn't need a bigger blocklist. It needs a protocol.

  1. Cryptographic verification. HTTP Message Signatures (RFC 9421): when an operator signs, we verify with Ed25519 against their well-known directory and attribute the request. When they don't, we fall down the 4-tier ladder and show you which tier each hit landed in.
  2. Per-operator policy. "Allow Google index. Challenge UA-claimed AI. Block spoofed." Customer-defined, per-site, dry-run by default so nothing breaks on day one.
  3. Regular transparency reports. Published here as we have enough traffic to say something true. Aggregate across Z-Gate customers — which operators sign, which spoof, which honor robots.txt.

Why this wins

Not by being a better black box. By being the open, explainable, self-serve one in a market of closed enterprise vendors. By publishing what we see, in the clear. Transparency is the product.

LATAM-first is part of the position, not a footnote. Spanish from day one. São Paulo servers. Hundreds of millions of users whose dashboards still aren't in their language — Z-Gate was built for them first.

How to follow along

These reports will be written as we have things to say — observations from the field, new operators we're seeing, policy patterns that work, ones that don't.

← Back to Reports
← Reportes
2026-04-22· primer post· 4 min de lectura

Hola, mundo.

El primer reporte de Z-Gate. Qué es, por qué existe, hacia dónde va.

Esto es Z-Gate. Primer post.

Qué es Z-Gate

Z-Gate es una plataforma de detección de bots y observabilidad de la web agéntica. Pegás un script tag en tu sitio. Z-Gate puntúa a cada visitante — humano, agente de IA verificado, spoofer haciéndose pasar por Googlebot — y te dice por qué. Cada score mapea a exactamente cuál de las 100+ señales se activó y con qué peso.

Sin CAPTCHA. Sin caja negra. Sin "contactar ventas".

Por qué existe Z-Gate

El mercado tiene un problema de forma. Cada vendor existente de detección de bots es enterprise-priced, enterprise-sold y enterprise-opaque. Los vendors top no cotizan por menos de $50K/año. DataDome requiere un ciclo de procurement de seis meses. Cloudflare solo protege a clientes de Cloudflare. hCaptcha es un laberinto glorificado para humanos. Fingerprint.com cobra $99/mes y te devuelve un "bot confidence score" sin razonamiento.

Mientras tanto, 2026 es el año en que los bots dejaron de ser solo bots. GPTBot crawlea para entrenar. PerplexityBot crawlea para citar páginas en una respuesta de búsqueda IA. ChatGPT-User actúa en nombre de un humano logueado tratando de reservar un hotel. Claude-User hace lo mismo. Googlebot y Bingbot siguen indexando. Scripts de monitoreo siguen pingueando. Son cinco tipos completamente distintos de visitantes. Ninguna herramienta existente le permite a un dev self-serve observarlos por separado, mucho menos definir política por tipo.

Z-Gate es la alternativa opinionada, explicable y self-serve.

Qué está shippeado hoy

  • 100+ señales de detección — biometría comportamental (mouse jerk, varianza de tipeo, overshoot de clicks), fingerprinting de dispositivos, probes de entorno, cadenas criptográficas de prueba.
  • Verificación criptográfica de bots con RFC 9421. Los bots que firman sus requests (OpenAI, Cloudflare, Perplexity) caen en Tier 1 con atribución de operador. El resto baja automáticamente por una escalera de 4 niveles.
  • Clasificación de agentes de IA en 3 ejes. Cada actor de IA etiquetado por Operador × Propósito × Accountability. 33 operadores conocidos. 6 propósitos.
  • Scoring explicable. Cada bloqueo tiene una razón. Cada razón tiene una señal.
  • Analítica de UX limpia. Heatmaps, scroll depth, rage clicks, abandono de campos de formulario — filtrables por identidad. El Hotjar sin bots.
  • Gatekeeper. Cuando el scoring no alcanza, un challenge conversacional de 30 segundos en lugar de un CAPTCHA.

El tier gratis cubre 100K sesiones/mes. Sin tarjeta de crédito.

La tesis

La web agéntica no necesita un blocklist más grande. Necesita un protocolo.

  1. Verificación criptográfica. HTTP Message Signatures (RFC 9421): cuando un operador firma, verificamos con Ed25519 contra su well-known directory y atribuimos la request. Cuando no firman, bajan por la escalera de 4 niveles y te mostramos en qué nivel cayó cada hit.
  2. Política por operador. "Permitir Google index. Challenge a IA UA-claimed. Bloquear spoofed." Definida por el cliente, por sitio, dry-run por default así nada se rompe el día uno.
  3. Reportes regulares de transparencia. Publicados acá cuando tengamos suficiente tráfico para decir algo verdadero. Agregado a través de clientes Z-Gate — qué operadores firman, cuáles spoofean, cuáles honran robots.txt.

Por qué esto gana

No por ser una mejor caja negra. Por ser la abierta, explicable, self-serve en un mercado de vendors enterprise cerrados. Por publicar lo que vemos, en claro. La transparencia es el producto.

LATAM-first es parte de la posición, no una nota al pie. Español desde el día uno. Servidores en São Paulo. Cientos de millones de usuarios cuyos dashboards todavía no están en su idioma — Z-Gate fue construido para ellos primero.

Cómo seguirnos

Estos reportes se escribirán cuando tengamos algo que decir — observaciones desde el campo, nuevos operadores que vemos, patrones de política que funcionan, los que no.

← Volver a Reportes