← На главную

Web Bot Auth от Browserbase и Cloudflare прячет капчу честным агентам

24.06.2026 16:02 · hackernews

В 2003 году исследователи из Carnegie Mellon — Луис фон Ан, Мануэль Блюм, Николас Хоппер и Джон Лэнгфорд — придумали термин CAPTCHA. Обратный тест Тьюринга: машина задаёт вопрос, а человек должен доказать, что он не робот. Задача не в том, чтобы проверить интеллект, а в том, чтобы сделать автоматизацию дороже, чем выгода от атаки.

Первое поколение — искажённый текст. Компьютеры не умели читать искривлённые буквы с шумом. Так работали AltaVista и Yahoo. Но атакующие разбили задачу на этапы: убрали шум, превратили картинку в чёрно-белую, разбили на символы и скормили OCR. Проблема оказалась не в искусственном интеллекте, а в обработке изображений.

Защитники сделали текст ещё нечитаемее: перекрывающиеся буквы, неестественные формы. Тогда фон Ан придумал reCAPTCHA — показывать сканы старых книг, которые OCR не мог распознать. Люди помогали оцифровывать архивы. Но пришло машинное обучение. Нейросети научились распознавать символы без идеальной сегментации. CAPTCHA стала сложнее для человека, чем для модели.

Третье поколение — сетки с картинками. Найди светофор или автобус. Но как раз вышли ImageNet и AlexNet. Нейросети научились видеть объекты без шаблонов. Категории из CAPTCHA совпали с популярными категориями в датасетах. Компьютеры научились «смотреть».

Тогда антибот-системы сменили подход. Они перестали проверять, может ли браузер решить задачу. Они начали проверять, заслуживает ли браузер доверия. reCAPTCHA v3 и Cloudflare Turnstile собирают сигналы: fingerprint, шрифты, WebGL, TLS-отпечатки, историю куки, поведение. Если всё чисто — капчи нет. Если подозрительно — показывают challenge.

Атакующие переключились с решения капч на подделку fingerprint'а. Теперь они не взламывают задачу, а притворяются легитимным пользователем.

Современный веб изменился. Агенты бронируют билеты, сдают отчётность, мониторят инфраструктуру — работают за реальных людей. Сайты не могут отличить полезного агента от злоумышленника. Решение — не спрашивать «можешь ли ты решить капчу?», а спрашивать «должен ли ты её вообще видеть?».

Появляется новый стандарт Web Bot Auth. Браузерные агенты криптографически подтверждают свою личность при навигации. Сайты отличают анонимную автоматизацию от автоматизации через доверенного провайдера. Browserbase вместе с Cloudflare строит именно это. Легитимной автоматизации не нужно притворяться человеком. Лучший «решатель» CAPTCHA — тот, кто никогда не видит CAPTCHA.

Читать оригинал →