O Google está expandindo o reCAPTCHA para uma plataforma mais ampla contra fraudes e abusos na web. Na conferência de nuvem Next ’26, a empresa apresentou “Google Cloud Fraud Defense”. A plataforma não apenas diferencia os usuários humanos dos bots clássicos, mas também aceita agentes de IA. O Google chama sua oferta de “próxima evolução” do reCAPTCHA e a posiciona como uma plataforma confiável para “agentes web” – isto é, para aplicações onde agentes de software autônomos executam tarefas para os usuários.
Leia mais depois do anúncio
O reCAPTCHA era originalmente conhecido como CAPTCHA e defesa de bot. No entanto, nos últimos anos, o Google tornou o produto mais amplamente disponível e agora é comercializado como proteção contra riscos e fraudes, por exemplo, para login, criação de conta ou processamento de pagamentos. A Deception Defense é construída sobre isso. Segundo o Google, os clientes existentes não precisam migrar ou configurar chaves de site, integrações ou contratos.
Agentes de IA são uma nova classe de tráfego da web
No cerne do anúncio está a suposição de que o tráfego da web não consistirá principalmente de pessoas e scripts simples. O Google espera mais atividades de agentes de IA que obtenham informações de forma independente, preparem decisões e iniciem todo o processo. Um exemplo é um assistente de compras que compara produtos, preenche um carrinho de compras e inicia uma compra para o usuário. O sistema pode ser desejável, mas do ponto de vista da segurança abre novas áreas de ataque.
Uma das inovações mais importantes é um painel para medir a atividade do agente. Os operadores devem ser capazes de ver os agentes de IA e outros sistemas automatizados que controlam o site. O Google quer identificar, classificar e analisar esse tráfego e vincular a identidade de agentes e usuários para avaliar melhor o risco. O que é mais interessante do ponto de vista técnico é que a abordagem não trata o acesso automatizado como tráfego de bot, mas o diferencia de acordo com a confiança, tipo e identidade.
Para conseguir isso, o Google também conta com novos protocolos e padrões emergentes. O anúncio menciona, entre outros, Web Bot Auth e SPIFFE (Secure Production Identity Framework for Everyone). A ideia por trás disso: um agente legítimo não deve apenas reivindicar sua origem e identidade usando características facilmente falsificáveis, como strings de agente de usuário ou endereços IP, mas também prová-las criptograficamente. Um agente de compras verificado pode então ser tratado de forma diferente de um raspador que apenas finge ser um navegador normal.
Orientações e desafios via código QR
O segundo elemento-chave que o Google introduziu é o mecanismo de política. Permite à empresa definir regras para diferentes fases da sessão – desde o registo e login até ao pagamento e finalização do pedido. A decisão baseia-se, entre outras coisas, no valor do risco, no tipo de automação e na identidade do agente. Na prática, os agentes de IA verificados podem ter permissão para consultar dados e disponibilidade de produtos, mas estão sujeitos a regras mais rígidas ao acessar contas de clientes ou acionar pagamentos.
Leia mais depois do anúncio
Existem também os chamados “desafios resistentes à IA”. Por trás disso está um mecanismo de verificação por meio de códigos QR, que requer confirmação humana caso haja um processo suspeito. Ao contrário dos quebra-cabeças clássicos de imagens ou texto, este desafio tem como objetivo tornar os ataques automáticos pouco atraentes. É concebível, por exemplo, que a aplicação exiba um código QR durante o arriscado processo de encomenda, que o utilizador deverá digitalizar com o seu smartphone para comprovar a sua presença.
Mudando situações de ameaça e propostas de valor
O Google justificou a reestruturação com a mudança na situação de ameaça. Os riscos estão mudando da automação clássica de bots e do tráfego inválido para ataques mais complexos, como falsificação de identidade de agente ou fraude de identidade sintética em grande escala. Por identidade sintética, o Google entende uma conta ou perfil que consiste em parte em características reais e em parte em características inventadas e, portanto, parece legítimo à primeira vista.
O grupo combinou o anúncio com promessas de desempenho de longo alcance. O Fraud Defense usa a mesma inteligência global contra ameaças que protege o ecossistema do Google. Segundo a empresa, sua rede básica protege metade das empresas Fortune 100 e mais de 14 milhões de domínios. O Google também fala em reduzir as aquisições de contas em uma média de 51% se as operadoras associarem o risco em todas as sessões.
Mais informações sobre o Google Cloud Fraud Defense e o reCAPTCHA podem ser encontradas na postagem do blog.
Leia também
(foo)
