Google Cloud Fraud Defense ขั้นถัดไปของวิวัฒนาการของ reCAPTCHA

 (cloud.google.com)
1 คะแนน โดย GN⁺ 1 시간 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Google Cloud เปิดตัว Google Cloud Fraud Defense โดยวางตำแหน่งให้เป็นแพลตฟอร์มความเชื่อถือสำหรับเว็บเชิงเอเจนต์ ซึ่งเป็นขั้นถัดไปของวิวัฒนาการของ reCAPTCHA
  • Fraud Defense ถูกออกแบบมาเพื่อตรวจสอบความชอบธรรมของ บอต มนุษย์ และเอเจนต์ AI และมอบอินเทลลิเจนซ์ที่องค์กรต้องใช้เพื่อปกป้องปฏิสัมพันธ์ดิจิทัลและธุรกรรมการค้า
  • ด้วยแดชบอร์ดใหม่และ เอนจินนโยบายเชิงเอเจนต์ ทำให้สามารถวัด จำแนก และควบคุมกิจกรรมเชิงเอเจนต์บนเว็บไซต์ได้ และอนุญาตหรือบล็อกได้ตามคะแนนความเสี่ยง ประเภทของระบบอัตโนมัติ และตัวตนของเอเจนต์
  • หากตรวจพบพฤติกรรมฉ้อโกงที่อาจเกิดขึ้นจากเอเจนต์ ระบบจะใช้ ชาเลนจ์แบบอิง QR code เพื่อให้มนุษย์เข้ามามีส่วนร่วมและพิสูจน์การมีตัวตน โดยมีเป้าหมายทำให้การฉ้อโกงแบบอัตโนมัติไม่คุ้มค่าในเชิงเศรษฐกิจ
  • ลูกค้า reCAPTCHA เดิมจะกลายเป็นลูกค้า Fraud Defense โดยอัตโนมัติ และยังคงใช้ site key และการผสานรวมเดิมต่อไปได้โดยไม่ต้องย้ายระบบ ไม่ต้องดำเนินการเพิ่มเติม และไม่มีการเปลี่ยนแปลงราคา

แพลตฟอร์มความเชื่อถือสำหรับเว็บเชิงเอเจนต์

  • Google Cloud เปิดตัว Google Cloud Fraud Defense ในงาน Google Cloud Next
  • Fraud Defense คือขั้นถัดไปของวิวัฒนาการของ reCAPTCHA และเป็นแพลตฟอร์มความเชื่อถือสำหรับ เว็บเชิงเอเจนต์ (agentic web)
  • เอเจนต์ AI อัตโนมัติสามารถยกระดับปฏิสัมพันธ์ออนไลน์ได้ผ่านการใช้เว็บสาธารณะและโปรโตคอลมาตรฐานอุตสาหกรรมในการให้เหตุผล วางแผน และดำเนินธุรกรรมที่ซับซ้อน แต่ก็สร้างช่องทางใหม่ของการใช้งานในทางที่ผิดและการฉ้อโกงเช่นกัน
  • Fraud Defense ใช้สัญญาณระดับโลกที่ Google ใช้ปกป้องระบบนิเวศของตนเอง เพื่อช่วยให้องค์กรส่งมอบประสบการณ์ที่เชื่อถือได้ทั้งแก่ผู้ใช้ที่เป็นมนุษย์และเอเจนต์ AI

การวัดและควบคุมทราฟฟิกเชิงเอเจนต์

  • Fraud Defense มอบชุดความสามารถที่ช่วยให้ลูกค้าวัดและควบคุมกิจกรรมเชิงเอเจนต์บนเว็บไซต์ได้

  • การวัดกิจกรรมเชิงเอเจนต์

    • แดชบอร์ดใหม่ช่วยให้วัดและทำความเข้าใจ กิจกรรมเชิงเอเจนต์ ได้
    • ระบุ จำแนก และวิเคราะห์ทราฟฟิกเชิงเอเจนต์ด้วยทั้งมาตรฐานอุตสาหกรรมอย่าง Web Bot Auth, SPIFEE และวิธีการเดิมที่ใช้อยู่
    • เชื่อมโยงตัวตนของเอเจนต์กับตัวตนของมนุษย์เพื่อให้เข้าใจความเสี่ยงและความเชื่อถือได้ดีขึ้น

  • เอนจินนโยบายเชิงเอเจนต์

    • มอบการควบคุมที่ละเอียดมากขึ้นในหลายขั้นตอนของปฏิสัมพันธ์กับผู้ใช้ปลายทางและตลอดทั้งเส้นทางการใช้งาน
    • เอนจินนโยบายเชิงเอเจนต์ของ Fraud Defense ทำให้สามารถอนุญาตหรือบล็อกเอเจนต์และผู้ใช้ได้ตามเงื่อนไข เช่น คะแนนความเสี่ยง ประเภทของระบบอัตโนมัติ และตัวตนของเอเจนต์

  • ชาเลนจ์ที่ต้านทาน AI

    • เมื่อระบุพฤติกรรมฉ้อโกงที่อาจเกิดขึ้นจากเอเจนต์ได้ ผู้ให้บริการแอปพลิเคชันจะสามารถยับยั้งและบรรเทาคำขอที่เป็นอันตรายด้วยชาเลนจ์ใหม่แบบอิง QR code
    • ชาเลนจ์นี้ขอให้มนุษย์เข้ามามีส่วนร่วมเพื่อพิสูจน์การมีตัวตน และถูกออกแบบมาโดยมีเป้าหมายเพื่อทำให้การฉ้อโกงแบบอัตโนมัติเป็นไปไม่ได้ในเชิงเศรษฐกิจ

ผลกระทบต่อลูกค้า reCAPTCHA เดิม

  • reCAPTCHA จะยังคงเป็นแกนหลักด้านการป้องกันบอตของแพลตฟอร์ม Fraud Defense ที่กว้างขึ้น
  • ลูกค้า reCAPTCHA เดิมจะกลายเป็นลูกค้า Fraud Defense โดยอัตโนมัติ
  • ไม่ต้องย้ายระบบ ไม่ต้องดำเนินการเพิ่มเติม และไม่มีการเปลี่ยนแปลงราคา
  • site key และการผสานรวมเดิมจะยังคงเหมือนเดิมทุกประการ

3 แนวทางสำหรับเว็บเชิงเอเจนต์

  • การป้องกันการฉ้อโกงและการใช้งานในทางที่ผิดบนเว็บเชิงเอเจนต์ ควรนำไปสู่ ประสบการณ์ลูกค้าที่เรียบง่ายขึ้น โดยพื้นฐาน
  • Fraud Defense ใช้ 3 แนวทางเพื่อทำให้เว็บเชิงเอเจนต์ปลอดภัยและสนับสนุนการเติบโตของธุรกิจ

  • ป้องกันภัยคุกคามที่เปลี่ยนแปลงอยู่เสมอ

    • Fraud Defense ปกป้ององค์กรด้วยอินเทลลิเจนซ์ด้านการฉ้อโกงที่ใช้ปกป้องบริการต่าง ๆ ของ Google
    • ท่ามกลางภัยคุกคามที่เคลื่อนจากระบบอัตโนมัติของบอตและทราฟฟิกที่ไม่ถูกต้อง ไปสู่การยึดครองเอเจนต์และการฉ้อโกงด้วยอัตลักษณ์สังเคราะห์ที่ขับเคลื่อนด้วย AI ในวงกว้าง ระบบสามารถระบุภัยคุกคามรูปแบบใหม่ก่อนที่จะมาถึงเว็บไซต์ได้
    • การมองเห็นนี้อิงอยู่บนกราฟอินเทลลิเจนซ์ด้านการฉ้อโกงขนาดใหญ่ ที่ปกป้องบริษัทในกลุ่ม Fortune 100 ถึง 50% และมากกว่า 14 ล้านโดเมนทั่วโลกอยู่แล้ว
    • มอบระดับของภูมิคุ้มกันหมู่และความเชื่อถือที่ผ่านการตรวจสอบแล้ว ซึ่งข้อมูลภายในพื้นที่อย่างเดียวทำได้ยาก

  • ปกป้องเส้นทางลูกค้า

    • ผู้โจมตีไม่ได้เล็งเพียงแต่เอนด์พอยต์แยกส่วน แต่เล็งทั้งเส้นทางดิจิทัล
    • ลักษณะนี้ยิ่งเด่นชัดขึ้นในเว็บเชิงเอเจนต์ที่มอบหมายให้เอเจนต์ดำเนินเส้นทางแบบ end-to-end
    • Fraud Defense ทำให้มองเห็นความเสี่ยงแบบบูรณาการตั้งแต่การลงทะเบียน การเข้าสู่ระบบ การชำระเงิน ไปจนถึงการเช็กเอาต์
    • โดยเชื่อมโยงวิเคราะห์ข้อมูล telemetry ตลอดทั้งวงจรชีวิตเพื่อระบุแคมเปญฉ้อโกงหลายขั้นตอนที่ซับซ้อน ซึ่งโซลูชันแบบจุดแยกส่วนอาจมองไม่เห็น
    • โมเดลความเชื่อถือแบบบูรณาการนี้แยกแยะกิจกรรมของลูกค้าที่ถูกต้องออกจากการใช้งานในทางที่ผิดที่ซับซ้อนได้ และพบว่าสามารถลดการยึดครองบัญชี (ATO) ได้ เฉลี่ย 51%

  • เร่งการเติบโตของธุรกิจ

    • ในเศรษฐกิจเชิงเอเจนต์ ความฝืดในการใช้งานทำให้อัตรา conversion ลดลง
    • Fraud Defense ถูกออกแบบให้มองไม่เห็นสำหรับผู้ใช้ส่วนใหญ่ และแทนที่ปริศนาที่รบกวนการใช้งานด้วยการตรวจสอบเบื้องหลังแบบเงียบ
    • ใช้โมเดลความเชื่อถืออัจฉริยะเพื่อบล็อกบอต มนุษย์ และเอเจนต์ที่เป็นอันตรายอย่างแม่นยำ พร้อมทั้งยอมรับผู้ใช้ที่ถูกต้อง
    • ตาม 2025 Shopify Retail Report ผู้ช่วยช้อปปิ้ง AI คาดว่าจะเพิ่มมูลค่าคำสั่งซื้อเฉลี่ยได้ 25%

ช่องทางดูข้อมูลเพิ่มเติม

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 1 시간 전
ความคิดเห็นจาก Hacker News

  • ข้อกำหนดของอุปกรณ์มือถืออยู่ที่นี่: https://support.google.com/recaptcha/answer/16609652
    ต่อไปนี้ดูเหมือนว่าการท่องเว็บจะต้องใช้อุปกรณ์ Android รุ่นใหม่ที่ติดตั้ง Google Play Services หรือไม่ก็ iPhone/iPad รุ่นใหม่
    แม้จะยังไม่ได้พูดถึง การตรวจสอบความสมบูรณ์ของอุปกรณ์ โดยตรง แต่ทิศทางก็ดูชัดเจนอยู่แล้ว

    • ถ้า Google Play Services ถูกใส่ไว้ในข้อกำหนด ก็ต้องตีความว่าจำเป็นต้องใช้อุปกรณ์ Android ที่ผ่านการรับรอง ซึ่งสามารถทำ Play Integrity attestation ได้
      เพราะนั่นเป็นช่องทางที่รองรับอย่างเป็นทางการเพียงทางเดียวในการได้ Google Play Services
      เอกสารช่วยเหลือสำหรับผู้บริโภคแบบนี้มักไม่เขียนรายละเอียดระดับ implementation ว่าใช้ API อะไร และถึงจะต้องใช้ MEETS_DEVICE_INTEGRITY ก็มีโอกาสสูงว่าจะไม่ระบุไว้ตรงนี้
      ตัวอย่างเช่น เอกสารสำหรับผู้บริโภคของ Google Pay ก็เขียนแค่ว่าต้องใช้อุปกรณ์ Android ที่ “ผ่านการรับรอง” และต้องมีการล็อกหน้าจอ: https://support.google.com/wallet/answer/12200245
      ถ้าขุดลงไปจนสุดใน FAQ ก็จะมีบอกว่าโทรศัพท์ที่รูตแล้วใช้การแตะเพื่อจ่ายไม่ได้ แต่ข้อกำหนดนั้นก็ถือว่ารวมอยู่ในเงื่อนไขการรับรองอยู่แล้ว [1]
      แม้แต่มุมมองของ Google เอง Android ก็เท่ากับ Google Android ในทางกฎหมายด้วย เพราะ Android เป็นเครื่องหมายการค้าที่ Google จดทะเบียนไว้
      ถ้าฟีเจอร์นี้ไม่ใช้งานการ attestation ของอุปกรณ์ ก็หลอกได้ง่ายจนแทบไม่มีความหมาย และถึงช่วงแรกจะยังไม่ใช้ ก็น่าจะเริ่มใส่การ attestation ของอุปกรณ์เข้ามาผ่าน A/B testing ภายในไม่กี่ปีข้างหน้า
      [1] “What to do if you see device is not certified” -> เปิด “Reset device to fix issue” https://support.google.com/android/answer/7165974
    • เส้นทาง GrapheneOS ของฉันคงจะตื่นเต้นขึ้นไปอีก
      การผลักผู้ใช้เข้าสู่กระบวนการยืนยันตัวตนอย่างเป็นทางการของ Google เพื่อให้ท่องเว็บได้ นี่มันรุนแรงจริง ๆ
      แอป reCAPTCHA บน iPhone ก็บังคับให้ล็อกอินบัญชี Google ด้วยหรือเปล่า?
      ที่แท้การทำให้เว็บสูญเสียความเป็นนิรนามก็ไม่จำเป็นต้องไปถึงขั้นตรวจบัตรประชาชนเลย
    • วิธีนี้ก็น่าจะต้องเปิด Bluetooth บนอุปกรณ์ทั้งสองเครื่อง
      อย่างน้อยฟีเจอร์ที่สแกน QR code ที่แสดงบนคอมพิวเตอร์แล้วใช้ passkey ในโทรศัพท์ยืนยันตัวตนก็เป็นแบบนั้น และฟีเจอร์นี้ก็ดูคล้ายกัน
      Bluetooth ใช้เพื่อตรวจว่าอุปกรณ์ทั้งสองอยู่ในสถานที่เดียวกันจริงหรือไม่
    • ถ้าคุณยังอยากได้ทราฟฟิกเข้าเว็บไซต์ อาจถึงเวลาต้อง เลิกใช้ reCAPTCHA แล้ว
      แน่นอนว่าทุกคนก็คงยอมจำนนกันหมด แต่ขอให้ฉันได้ฝันสักไม่กี่นาทีก็ยังดี
    • ฉันพูดมาหลายปีแล้วว่าการท่องเว็บด้วยสมาร์ตโฟนมันไม่สมเหตุสมผล
      สุดท้ายพอสถานการณ์แย่พอ คนก็คงจะเห็นด้วยกับฉันเอง

  • ไม่อยากเชื่อเลยว่าจะโปรโมตโจทย์แบบใช้ QR code ว่าเป็นวิธีป้องกันการฉ้อโกงเชิง “agentic”
    การบังคับให้คนป้อนข้อมูลที่มนุษย์อ่านไม่ออกนั้นอันตราย และถ้า QR code ถูกปนเปื้อนด้วย zero-day URL เข้าเมื่อไร ก็จบเห่
    รู้แหละว่าทุกวันนี้ QR code มีอยู่ทุกที่ แต่การสแกน QR code แบบไม่ลืมหูลืมตาเพื่อเข้าถึง URL ก็แทบไม่ต่างจากการรันไบนารีที่ดาวน์โหลดมาจากอินเทอร์เน็ต
    วิธีติดตั้งแบบ curl $URL | bash ก็โดยแก่นแท้แล้วเป็นแบบนั้นเป๊ะ ๆ แต่ไม่รู้ทำไมมันถึงแพร่หลายไปเสียได้

  • บริษัทไหนที่บังคับให้สแกน QR code เพื่อซื้อสินค้า ฉันจะ ไม่ซื้อ

    • ถ้าเป็นในจีน คงอยู่แบบนั้นได้ไม่นาน
      ที่นั่นแทบจะจ่ายเงินด้วยการสแกน QR code ได้ทุกที่อยู่แล้ว
    • ร้านค้าและร้านอาหารจำนวนมากบังคับให้ สั่งผ่าน QR code
      มันเริ่มจากช่วงโควิด แต่ยังคงอยู่ต่อ และจากประสบการณ์ของฉัน ยิ่งนอกสหรัฐฯ ยิ่งเจอบ่อย
    • เดี๋ยวมันก็มาเอง
      พวกโง่ที่ Poshmark เรียกขอดูบัตรประชาชนที่ออกโดยรัฐเพื่อซื้อเสื้อราคา 35 ดอลลาร์
      ทั้งที่เป็นบัญชีเก่า และที่อยู่ก็ตรงกับบัตรเครดิตอยู่แล้ว
      คำตอบเดียวคือปิดบัญชีทิ้ง

  • ฟีเจอร์ QR code ดูเหมือนจะกลายเป็นช่องทาง แจกจ่าย Pegasus ได้เลยเมื่อคนเริ่มคุ้นชินกันแล้ว

    • สแกน QR code → ระบบบอกว่ายังไม่ได้ติดตั้ง “แอป captcha” แล้วรีไดเรกต์ไป Play Store โดยอัตโนมัติ → ดาวน์โหลดมัลแวร์เพราะการตรวจสอบของ Google Play หละหลวม → กำไร
      ฉันคงไม่ใช่คนแรกที่คิดแบบนี้หรอกใช่ไหม?
    • โดยรวมแล้วมีแต่จะถอนหายใจ และรู้สึก “ขอบคุณ” เหล่าผู้นำผู้บุกเบิกของเราที่ค่อย ๆ ทำให้ทุกอย่างแย่ลงทีละนิด
      แต่ก็นะ อย่างน้อยเรากำลังจะได้ยูโทเปีย AI เป็นสิ่งตอบแทน ใช่ไหม?
      ใช่ไหม?

  • ถามจริงจังนะ ถ้า ไม่มีสมาร์ตโฟน จะทำยังไง?

    • ก็แปลว่าคุณเป็นไพร่ เลยไม่มีความสำคัญไง
      ไม่ต้องกังวลหรอก
      พวกเขาจะจับมือกับผู้ให้บริการเครือข่ายเพื่ออุดหนุนอุปกรณ์ให้ตามงบของคุณ และทำให้คุณซื้อได้ทุกครั้งที่มีโอกาส
    • ท่าทีของสังคมโดยรวมดูจะประมาณว่า “ก็ไสหัวไปสิ”
      และคุณก็คงต้องซื้อเครื่องใหม่ด้วย
      หลายอย่างเป็นแบบใช้ผ่านแอปเท่านั้นอยู่แล้ว หรือกำลังมุ่งไปทางนั้น รวมถึงการเดินทางไปบางประเทศด้วย

  • การที่อุปกรณ์มือถือกลายเป็นสิ่งจำเป็นในการพิสูจน์ว่าเป็น “มนุษย์” ตอนนี้ หมายความว่า Google ไม่เชื่อถือ เดสก์ท็อป/แพลตฟอร์มเปิด อีกต่อไปแล้ว

    • มีระบุไว้ตรงไหน?
      ฉันหาในต้นฉบับไม่เจอ
    • มีใครเชื่อถือมันด้วยเหรอ?
      ถ้ามองจากฉัน แพลตฟอร์มเดสก์ท็อปที่ยังพอได้รับความเชื่อถือก็มีแค่ macOS

  • จังหวะมันช่างตลกดี
    ตลอดสัปดาห์ที่ผ่านมา ฉันโดน CAPTCHA ทุกครั้งที่ค้นหาจากแถบที่อยู่ และเมื่อไม่ถึงสองชั่วโมงก่อนเพิ่งเปลี่ยนทั้งหมดไปเป็น DuckDuckGo
    ทำได้ดีมาก, Google!

  • ฉันกำลังพยายามลดการใช้โทรศัพท์ลงเรื่อย ๆ
    ในอุดมคติถึงขั้นอยากกลับไปใช้ feature phone ด้วยซ้ำ
    แต่ถ้าทุกเว็บไซต์เริ่มบังคับให้สแกน QR code ด้วยสมาร์ตโฟนที่ผ่านการรับรอง กลยุทธ์แบบนี้ก็คงแทบเป็นไปไม่ได้

    • ยิ่งเป็นเหตุผลว่าทำไมคนจำนวนมากควรรีบตระหนักว่าชีวิตแบบ มือถือเป็นศูนย์กลาง ที่พวกเขาใช้อยู่นั้นยังมีทางเลือกอื่น
      การมีโทรศัพท์มือถือไม่ใช่ภาคบังคับ และก็ไม่ควรถูกทำให้เป็นภาคบังคับด้วย
      พวกนักการเมืองก็ควรตื่นตัวได้แล้ว

  • เห็นได้ชัดว่า Google อยากให้มีแต่ รุ่นที่ Google อนุมัติ เท่านั้นที่ท่องเว็บได้