用户的浏览器里,一场机器人筛查正在从“门卫式检查”变成一场无声的“全流程审视”。本周三,Cloudflare宣布其Precursor机器人检测系统正式开放通用可用性——它不再在访问门口用一张验证码测试一次,而是跟踪访客在整个浏览会话中的一举一动。
Cloudflare给出的数字足够直接:网络请求里约57%来自机器人。自动化流量已经比真人访问还多。问题是,传统的检测方法只在一个时间点起作用。挑战页面在门口考你一次,通过之后的所有行为都被默认安全,这个逻辑已被证明非常容易骗过。Cloudflare首席技术官Dane Knecht打了个比方:“以前我们只在大门口检查身份证,现在我们看整个访问全程的行为。”
Precursor运行在浏览器内部,持续把交互信号流式传回Cloudflare的边缘网络。服务器实时对这些信号打分,寻找自动化工具留下的异常痕迹。单次动作可以被伪造——机器人装一个真人点击并不难。但装一个完整会话,要模拟真人的时间节奏不规则性,需要掏出真金白银的工程成本。这层经济门槛就是Precursor想筑的防线。
客户只需点一次开关就能启用Precursor,不需要改任何代码。Cloudflare会在已经经过其网络的页面里注入一段轻量脚本,记录鼠标移动、滚动节奏、打字节律、剪贴板活动,以及页面在浏览器标签页里保持可见的时间长度。接下来的环节Knecht管它叫“一致性检查”。分析引擎解包这些遥测数据,寻找内部矛盾:页面被隐藏时出现了指针活动?文字框失去焦点时触发了键盘事件?这些细节拼凑出一个会跟着访客跑的机器人评分,在整站或单页应用里持续累加,不归零。
这恰好堵住了一种经典逃避路径。面对每次请求都重置的挑战,自动化代理只需刷新页面就能抹掉行为痕迹。Precursor的评分机制不给你这个机会。同时Cloudflare特意强调,脚本记录的是聚合模式,不是输入内容本身。键盘活动被存为节奏和节律,输入的字符永远不会被捕获。这意味着行为分析拿到的是一套“如何操作”的指纹,而非用户输入了什么。
Precursor的推出是Cloudflare在机器人及爬虫管理产品线上持续加码的结果。去年起,这家公司对新客户默认开启AI爬虫拦截,并搭建了Pay Per Crawl市场让出版商可以向AI公司收费出售访问权限,还推出了AI Crawl Control方案供按单一爬虫做允许或阻止的精细决策。机器人管理的商业触角也在延伸,WP Engine已将Cloudflare网络的能力内嵌到自己的Global Edge Security服务里去构建机器人控制系统。Knecht将登录与结账这两个关键节点之外的阶段形容为“一个黑箱”,现在他们开始往里打灯。Precursor已正式上线,Cloudflare未披露定价。
热门跟贴