La teoria del Web of Trust è che i partecipanti agiscono come autorità di certificazione locali, verificando la corrispondenza tra le chiavi pubbliche e identità. Le garanzie possono essere ottenute da catene di firme su chiavi basate sulla seguente euristica: presumibilmente, un utente malintenzionato potrebbe corrompere o ingannare alcuni utenti, ma non tutti. Quindi, se riesci a costruire molte catene di firme, da una chiave di cui ti fidi a priori (la tua chiave) fino alla chiave che vuoi convalidare, e tutte queste catene vanno attraverso chiavi distinte intermedie, quindi tutte le presunte verifiche manuali presunte in qualche modo si sommano: se si hanno 12 catene di questo tipo, quindi, l'attaccante (che tenta di impersonare un utente) avrebbe dovuto corrompere o ingannare almeno 12 persone distinte per ottenere una simile immagine.
Se questa convalida euristica è sufficiente è aperta al dibattito (personalmente non la trovo nemmeno lontanamente decente, per quanto riguarda la sicurezza). Tuttavia, il principio fondamentale è che qualsiasi atto di firma chiave contribuisce alla sicurezza generale solo nella misura in cui la verifica dell'identità corrispondente è efficace contro la corruzione.
Nel caso del tuo robot, il robot controllerebbe semplicemente il controllo di un indirizzo email. Sfortunatamente, le email non sono un sistema sicuro; infatti, PGP è stato inventato precisamente perché le email non sono sicure. Quando si utilizza PGP, si presume che eventuali aggressori possano leggere e inviare e-mail a volontà; questa è la vera ragione per cui usi PGP. In tale contesto, basare la sicurezza delle firme key-to-id sulle e-mail sembra poco saggio. Oppure, detto diversamente: il contributo delle firme prodotte dal tuo robot alla "garanzia di convalida" complessiva dovrebbe essere considerato molto basso. Non fa male di per sé, ma non aiuta molto.
(O meglio, potrebbe ferire se le persone iniziano a fidarsi di tali firme per qualcosa di più di ciò che effettivamente forniscono).