Google Cloud Fraud Defense, a próxima evolução do reCAPTCHA

 (cloud.google.com)
1 pontos por GN⁺ 1 시간 전 | 1 comentários | Compartilhar no WhatsApp
  • O Google Cloud lançou o Google Cloud Fraud Defense, apresentado como a próxima evolução do reCAPTCHA e uma plataforma de confiança para a web agentiva
  • O Fraud Defense foi projetado para verificar a legitimidade de bots, humanos e agentes de IA e fornecer às empresas a inteligência necessária para proteger interações digitais e transações comerciais
  • Com um novo dashboard e um mecanismo de políticas agentivas, é possível medir, classificar e controlar a atividade agentiva em sites, permitindo ou bloqueando com base em pontuação de risco, tipo de automação e identidade do agente
  • Quando um potencial comportamento fraudulento é identificado em um agente, um desafio baseado em QR code permite que uma pessoa intervenha para provar sua presença, com o objetivo de tornar a fraude automatizada economicamente difícil
  • Os clientes atuais do reCAPTCHA passam automaticamente a ser clientes do Fraud Defense, sem migração, ações separadas ou mudanças de preço, e com as chaves de site e integrações existentes mantidas como estão

Plataforma de confiança para a web agentiva

  • O Google Cloud lançou o Google Cloud Fraud Defense no Google Cloud Next
  • O Fraud Defense é a próxima evolução do reCAPTCHA, uma plataforma de confiança para a web agentiva (agentic web)
  • Agentes autônomos de IA podem fortalecer as interações online ao usar a web pública e protocolos padrão do setor para raciocinar, planejar e executar transações complexas, mas também criam novos vetores de abuso e fraude
  • O Fraud Defense usa sinais globais aproveitados para proteger o próprio ecossistema do Google, permitindo que empresas ofereçam experiências confiáveis tanto para usuários humanos quanto para agentes de IA

Medição e controle do tráfego agentivo

  • O Fraud Defense oferece um conjunto de recursos para que clientes possam medir e controlar a atividade agentiva em seus sites

  • Medição da atividade agentiva

    • Um novo dashboard permite medir e entender a atividade agentiva
    • Identifica, classifica e analisa tráfego agentivo usando padrões do setor como Web Bot Auth e SPIFEE, junto com métodos existentes
    • Permite relacionar a identidade do agente com a identidade humana para compreender melhor risco e confiança

  • Mecanismo de políticas agentivas

    • Oferece controle mais granular em várias etapas da interação do usuário final e ao longo de toda a jornada
    • O mecanismo de políticas agentivas do Fraud Defense permite liberar ou bloquear agentes e usuários com base em condições como pontuação de risco, tipo de automação e identidade do agente

  • Desafio resistente à IA

    • Quando um potencial comportamento fraudulento é identificado em um agente, o provedor da aplicação pode conter e mitigar solicitações maliciosas com um novo desafio baseado em QR code
    • Esse desafio solicita que uma pessoa intervenha para provar sua presença e foi projetado com o objetivo de tornar a fraude automatizada economicamente inviável

Impacto para clientes atuais do reCAPTCHA

  • O reCAPTCHA continua sendo o eixo principal de defesa contra bots dentro da plataforma mais ampla do Fraud Defense
  • Os clientes atuais do reCAPTCHA tornam-se automaticamente clientes do Fraud Defense
  • Não é necessária migração, não são necessárias ações separadas e não há mudança de preço
  • As chaves de site e integrações existentes permanecem exatamente como estão hoje

Três abordagens para a web agentiva

  • Impedir fraude e abuso na web agentiva deve, em essência, levar a uma experiência do cliente mais simples
  • O Fraud Defense usa três abordagens para viabilizar uma web agentiva segura e apoiar o crescimento dos negócios

  • Prevenção contra ameaças em evolução

    • O Fraud Defense protege empresas com a inteligência antifraude usada para proteger diversos serviços do Google
    • À medida que as ameaças migram de automação por bots e tráfego inválido para comprometimento de agentes e fraude de identidade sintética baseada em IA em larga escala, ele identifica ameaças emergentes antes que cheguem ao site
    • Essa visibilidade se baseia em um grafo de inteligência antifraude em grande escala que já protege 50% das empresas da Fortune 100 e mais de 14 milhões de domínios no mundo
    • Isso oferece imunidade coletiva e confiança verificada em um nível difícil de alcançar apenas com dados locais

  • Proteção da jornada do cliente

    • Os atacantes não miram endpoints isoladamente, mas sim a jornada digital
    • Esse caráter fica ainda mais forte na web agentiva, em que se confia aos agentes a execução de jornadas ponta a ponta
    • O Fraud Defense permite ver o risco de forma integrada, do cadastro ao login, pagamento e checkout
    • Ao correlacionar dados de telemetria ao longo de todo o ciclo de vida, identifica campanhas de fraude complexas e em várias etapas que soluções pontuais isoladas deixam passar
    • Esse modelo de confiança unificado mostrou reduzir a tomada de contas (ATO) em 51% em média, ao distinguir atividade legítima de clientes de abuso sofisticado

  • Aceleração do crescimento dos negócios

    • Na economia agentiva, atrito reduz conversão
    • O Fraud Defense foi projetado para ser invisível para a maioria dos usuários, substituindo quebra-cabeças intrusivos por verificação silenciosa em segundo plano
    • Com modelos inteligentes de confiança, permite bloquear com precisão bots, humanos e agentes maliciosos, ao mesmo tempo em que aceita usuários legítimos
    • Segundo o 2025 Shopify Retail Report, assistentes de compras com IA devem elevar o valor médio dos pedidos em 25%

Caminhos para saber mais

Leituras relacionadas

1 comentários

 
GN⁺ 1 시간 전
Comentários do Hacker News

  • Os requisitos para dispositivos móveis estão aqui: https://support.google.com/recaptcha/answer/16609652
    Parece que, no futuro, para navegar na web será preciso um dispositivo Android recente com Google Play Services instalado ou um iPhone/iPad recente
    Ainda não mencionam verificação de integridade do dispositivo, mas a direção já parece bem óbvia

    • Se Google Play Services está nos requisitos, isso deve significar que será necessário um dispositivo Android certificado capaz de fornecer atestado do Play Integrity
      Porque esse é o único caminho oficialmente suportado para obter Google Play Services
      Em documentos de suporte ao consumidor como este, eles normalmente não entram em detalhes de implementação, como qual API usam, e mesmo que MEETS_DEVICE_INTEGRITY seja exigido, provavelmente isso não apareceria explicitamente aqui
      Por exemplo, a documentação ao consumidor do Google Pay também só diz que é necessário um dispositivo Android “certificado” e bloqueio de tela: https://support.google.com/wallet/answer/12200245
      Se você cavar até o fim do FAQ, aparece que celulares com root não podem usar pagamento por aproximação, mas esse requisito já está implicitamente incluído na exigência de certificação [1]
      Do ponto de vista do Google, por causa das marcas registradas deles, legalmente Android == Google Android
      Se esse recurso não usar atestado do dispositivo, será fácil de enganar e não terá muito valor; meu palpite é que no início talvez não usem, mas nos próximos anos devem começar a introduzir atestado do dispositivo via testes A/B
      [1] “What to do if you see device is not certified” -> expandir “Reset device to fix issue” https://support.google.com/android/answer/7165974
    • Minha jornada com o GrapheneOS vai ficar ainda mais emocionante
      É realmente pesado empurrar os usuários para o processo oficial de verificação de identidade do Google só para navegar na web
      O app do reCAPTCHA para iPhone também força login com conta Google?
      Acontece que nem foi preciso chegar à verificação de identidade para a web perder o anonimato
    • Parece que esse método também vai exigir Bluetooth ligado nos dois dispositivos
      Pelo menos a função de escanear um QR code mostrado no computador para autenticar com uma passkey no celular funciona assim, e isso parece parecido
      O Bluetooth é usado para verificar se os dois dispositivos estão realmente fisicamente no mesmo lugar
    • Se você quiser receber tráfego no seu site, talvez agora precise parar de usar reCAPTCHA
      Claro que todo mundo vai simplesmente se render, mas me deixe sonhar por alguns minutos
    • Já venho dizendo há anos que navegar na web por smartphone não faz sentido
      No fim, quando a situação piorar o bastante, as pessoas vão acabar concordando comigo

  • Não dá para acreditar que estejam promovendo desafio baseado em QR code como um método “agêntico” de defesa contra fraude
    Fazer pessoas inserirem dados que elas não conseguem ler é perigoso, e basta um QR code contaminado com uma URL de zero-day para dar ruim
    Eu sei que hoje QR codes estão em todo lugar, mas escanear um QR code às cegas para acessar uma URL é parecido com executar um binário baixado da internet
    O método de instalação curl $URL | bash é essencialmente isso também, mas por algum motivo acabou se espalhando

  • Não vou comprar em empresa que exija escanear QR code para comprar

    • Na China isso provavelmente não duraria muito
      Lá você literalmente paga em praticamente qualquer lugar escaneando QR code
    • Muitos restaurantes e lojas forçam pedido por QR code
      Isso começou na pandemia, mas continuou, e pela minha experiência é ainda mais comum fora dos EUA
    • Está chegando
      Os idiotas da Poshmark pediram documento de identidade emitido pelo governo para eu comprar uma camisa de 35 dólares
      Era uma conta antiga, e até o endereço batia com o do cartão de crédito, mas mesmo assim pediram
      A única resposta possível é apagar a conta

  • O recurso de QR code parece algo que, quando as pessoas se acostumarem, poderá ser explorado como vetor de distribuição do Pegasus

    • Escanear QR code → dizer que o “app de captcha” não está instalado e redirecionar automaticamente para a Play Store → baixar malware por causa da péssima revisão do Google Play → lucro
      Não devo ter sido o primeiro a pensar nisso, né?
    • No geral isso dá um suspiro profundo, e faz até agradecer aos nossos “líderes visionários” por tornarem tudo um pouquinho pior
      Mas pelo menos estamos recebendo em troca a utopia da IA, certo?
      Certo?

  • Pergunta séria: o que acontece se você não tiver smartphone?

    • Isso significa que você é um servo e, portanto, não importa
      Não precisa se preocupar
      Em parceria com as operadoras, vão subsidiar um aparelho que caiba no seu orçamento e garantir que você possa comprá-lo em todas as oportunidades possíveis
    • A atitude geral da sociedade parece ser algo como “se vira e some”
      E você provavelmente também vai ter de comprar um aparelho novo
      Muitas coisas já são exclusivas de app ou estão caminhando nessa direção, inclusive viajar para certos países

  • O fato de dispositivos móveis agora serem obrigatórios para provar que você é “humano” significa que o Google não confia mais em desktop/plataformas abertas

    • Onde isso está dito?
      Não consegui achar isso no texto original
    • E quem confia?
      Na minha visão, a única plataforma desktop confiável é o macOS

  • O timing é engraçado
    Na última semana fiquei levando CAPTCHA toda vez que pesquisava pela barra de endereços e, há menos de duas horas, troquei tudo para DuckDuckGo
    Mandou bem, Google!

  • Estou tentando usar cada vez menos o celular
    Idealmente, eu até gostaria de voltar para um feature phone
    Mas se todos os sites começarem a exigir que você escaneie QR code com um smartphone certificado, essa estratégia vai ficar praticamente impossível

    • Por isso mais gente precisa perceber logo que existem alternativas a essa vida centrada no celular em que vivem
      Ter celular não é obrigação, e não deveria virar obrigação
      Os políticos também precisam acordar

  • O Google claramente quer permitir que só modelos aprovados pelo Google circulem pela web