Google Cloud Fraud Defense, bước tiến hóa tiếp theo của reCAPTCHA

 (cloud.google.com)
1 điểm bởi GN⁺ 1 giờ trước | 1 bình luận | Chia sẻ qua WhatsApp
  • Google Cloud đã ra mắt Google Cloud Fraud Defense, được định vị là nền tảng niềm tin cho web tác tử, đánh dấu bước tiến hóa tiếp theo của reCAPTCHA
  • Fraud Defense được thiết kế để xác minh tính hợp lệ của bot, con người và tác tử AI, đồng thời cung cấp thông tin tình báo cần thiết để doanh nghiệp bảo vệ các tương tác số và giao dịch thương mại
  • Với bảng điều khiển mới và công cụ chính sách tác tử, doanh nghiệp có thể đo lường, phân loại và kiểm soát hoạt động tác tử trên website, cho phép hoặc chặn dựa trên điểm rủi ro, loại tự động hóa và danh tính tác tử
  • Khi phát hiện hành vi gian lận tiềm ẩn từ tác tử, hệ thống sẽ dùng thử thách dựa trên mã QR để yêu cầu con người can thiệp và chứng minh sự hiện diện, với mục tiêu khiến gian lận tự động trở nên không còn hiệu quả về mặt kinh tế
  • Khách hàng reCAPTCHA hiện tại sẽ tự động trở thành khách hàng Fraud Defense, không cần di chuyển, không cần thao tác riêng và không thay đổi giá, đồng thời vẫn giữ nguyên site key và tích hợp hiện có

Nền tảng niềm tin cho web tác tử

  • Google Cloud đã ra mắt Google Cloud Fraud Defense tại Google Cloud Next
  • Fraud Defense là bước tiến hóa tiếp theo của reCAPTCHA, một nền tảng niềm tin cho web tác tử (agentic web)
  • Các tác tử AI tự chủ có thể tăng cường tương tác trực tuyến bằng cách suy luận, lập kế hoạch và thực hiện các giao dịch phức tạp thông qua web công khai và các giao thức tiêu chuẩn ngành, nhưng cũng tạo ra các hướng lạm dụng và gian lận mới
  • Fraud Defense tận dụng các tín hiệu toàn cục đang được Google dùng để bảo vệ chính hệ sinh thái của mình, giúp doanh nghiệp mang lại trải nghiệm đáng tin cậy cho cả người dùng là con người lẫn tác tử AI

Đo lường và kiểm soát lưu lượng tác tử

  • Fraud Defense cung cấp một bộ tính năng để khách hàng đo lường và kiểm soát hoạt động tác tử trên website

  • Đo lường hoạt động tác tử

    • Bảng điều khiển mới giúp đo lường và hiểu hoạt động tác tử
    • Hệ thống nhận diện, phân loại và phân tích lưu lượng tác tử bằng cách kết hợp các tiêu chuẩn ngành như Web Bot Auth, SPIFEE cùng các phương pháp hiện có
    • Hệ thống liên kết danh tính tác tử với danh tính con người để hiểu rõ hơn về rủi ro và mức độ tin cậy

  • Công cụ chính sách tác tử

    • Cung cấp khả năng kiểm soát chi tiết hơn ở nhiều giai đoạn trong tương tác với người dùng cuối và trên toàn bộ hành trình
    • Công cụ chính sách tác tử của Fraud Defense cho phép chấp nhận hoặc chặn tác tử và người dùng dựa trên các điều kiện như điểm rủi ro, loại tự động hóa và danh tính tác tử

  • Thử thách có khả năng chống AI

    • Khi phát hiện hành vi gian lận tiềm ẩn từ tác tử, nhà cung cấp ứng dụng có thể dùng thử thách mới dựa trên mã QR để ngăn chặn và giảm thiểu các yêu cầu độc hại
    • Thử thách này yêu cầu con người can thiệp để chứng minh sự hiện diện, và được thiết kế với mục tiêu khiến gian lận tự động trở nên bất khả thi về mặt kinh tế

Tác động với khách hàng reCAPTCHA hiện tại

  • reCAPTCHA sẽ tiếp tục là trụ cột phòng thủ bot cốt lõi trong nền tảng Fraud Defense rộng hơn
  • Khách hàng reCAPTCHA hiện tại sẽ tự động trở thành khách hàng Fraud Defense
  • Không cần di chuyển, không cần thao tác bổ sung và không thay đổi giá
  • Site key và tích hợp hiện tại vẫn được giữ nguyên hoàn toàn như trước

Ba cách tiếp cận cho web tác tử

  • Việc ngăn chặn gian lận và lạm dụng trong web tác tử về cơ bản phải dẫn tới trải nghiệm khách hàng đơn giản hơn
  • Fraud Defense sử dụng ba cách tiếp cận để tạo điều kiện cho web tác tử an toàn và hỗ trợ tăng trưởng kinh doanh

  • Ngăn chặn các mối đe dọa đang tiến hóa

    • Fraud Defense bảo vệ doanh nghiệp bằng thông tin tình báo gian lận mà Google đang dùng để bảo vệ nhiều dịch vụ của mình
    • Khi mối đe dọa dịch chuyển từ bot tự động hóa và lưu lượng không hợp lệ sang chiếm đoạt tác tử và gian lận danh tính tổng hợp dựa trên AI ở quy mô lớn, hệ thống có thể nhận diện các mối đe dọa mới nổi trước khi chúng chạm tới website
    • Mức độ quan sát này dựa trên một đồ thị tình báo gian lận quy mô lớn hiện đã bảo vệ 50% doanh nghiệp trong Fortune 100 và hơn 14 triệu tên miền trên toàn cầu
    • Điều này mang lại mức độ miễn dịch cộng đồng và niềm tin đã được xác thực mà chỉ dữ liệu cục bộ khó có thể đạt được

  • Bảo vệ hành trình khách hàng

    • Kẻ tấn công không nhắm vào từng endpoint riêng lẻ mà nhắm vào toàn bộ hành trình số
    • Đặc điểm này càng rõ hơn trong web tác tử, nơi tác tử được giao thực hiện hành trình end-to-end
    • Fraud Defense cho phép nhìn nhận rủi ro một cách tích hợp từ đăng ký, đăng nhập, thanh toán đến checkout
    • Bằng cách phân tích tương quan dữ liệu telemetry trên toàn bộ vòng đời, hệ thống có thể xác định các chiến dịch gian lận nhiều bước phức tạp mà các giải pháp điểm rời rạc dễ bỏ sót
    • Mô hình niềm tin tích hợp này được cho là đã giúp giảm trung bình 51% các vụ chiếm đoạt tài khoản (ATO) bằng cách phân biệt hoạt động khách hàng hợp pháp với hành vi lạm dụng tinh vi

  • Tăng tốc tăng trưởng kinh doanh

    • Trong nền kinh tế tác tử, ma sát làm giảm chuyển đổi
    • Fraud Defense được thiết kế để hầu như vô hình với phần lớn người dùng, thay thế các câu đố gây phiền toái bằng cơ chế xác minh âm thầm ở hậu trường
    • Hệ thống dùng mô hình niềm tin thông minh để chặn chính xác bot, con người và tác tử độc hại, đồng thời chấp nhận người dùng hợp pháp
    • Theo 2025 Shopify Retail Report, các trợ lý mua sắm AI được dự báo sẽ làm tăng giá trị đơn hàng trung bình thêm 25%

Đường dẫn để tìm hiểu thêm

Bài viết liên quan

1 bình luận

 
GN⁺ 1 giờ trước
Ý kiến trên Hacker News

  • Yêu cầu đối với thiết bị di động được nêu ở đây: https://support.google.com/recaptcha/answer/16609652
    Có vẻ như trong tương lai, để duyệt web bạn sẽ cần một thiết bị Android mới có cài Google Play Services hoặc một iPhone/iPad đời mới
    Dù vẫn chưa nhắc trực tiếp đến xác minh tính toàn vẹn thiết bị, nhưng hướng đi thì đã quá rõ

    • Nếu Google Play Services nằm trong danh sách yêu cầu, thì nên hiểu là bạn sẽ cần một thiết bị Android được chứng nhận có thể thực hiện chứng thực Play Integrity
      Vì đó là con đường hỗ trợ chính thức duy nhất để có Google Play Services
      Các tài liệu hỗ trợ cho người dùng kiểu này thường không viết tới mức chi tiết triển khai như dùng API nào, và ngay cả khi cần MEETS_DEVICE_INTEGRITY thì khả năng cao cũng sẽ không ghi rõ ở đây
      Ví dụ, tài liệu cho người dùng của Google Pay cũng chỉ nói cần thiết bị Android “được chứng nhận” và có khóa màn hình: https://support.google.com/wallet/answer/12200245
      Nếu đào sâu đến cuối FAQ thì có nói điện thoại đã root sẽ không dùng được thanh toán chạm, nhưng yêu cầu đó thực chất đã nằm trong yêu cầu chứng nhận rồi [1]
      Ngay cả từ góc nhìn của Google, do thương hiệu đã được Google đăng ký, về mặt pháp lý Android == Google Android
      Nếu tính năng này không dùng chứng thực thiết bị thì sẽ rất dễ bị giả mạo nên gần như vô nghĩa, và có lẽ ban đầu họ chưa dùng nhưng trong vài năm tới sẽ bắt đầu đưa chứng thực thiết bị vào bằng A/B testing
      [1] “What to do if you see device is not certified” -> mở “Reset device to fix issue” https://support.google.com/android/answer/7165974
    • Hành trình với GrapheneOS của tôi chắc sẽ còn kịch tính hơn nữa
      Việc đẩy người dùng vào quy trình xác minh danh tính chính thức của Google chỉ để duyệt web thật sự quá thô bạo
      Ứng dụng reCAPTCHA cho iPhone có bắt buộc đăng nhập tài khoản Google không?
      Hóa ra web đánh mất tính ẩn danh còn chẳng cần đến bước xác minh giấy tờ tùy thân
    • Cách này có vẻ cũng sẽ yêu cầu bật Bluetooth trên cả hai thiết bị
      Ít nhất thì tính năng quét mã QR hiển thị trên máy tính để xác thực bằng passkey trên điện thoại là như vậy, và tính năng này trông cũng tương tự
      Bluetooth được dùng để xác minh rằng hai thiết bị thực sự đang ở cùng một địa điểm vật lý
    • Nếu muốn có lưu lượng truy cập web, giờ có lẽ phải ngừng dùng reCAPTCHA
      Tất nhiên mọi người rồi cũng sẽ ngoan ngoãn cúi đầu thôi, nhưng cứ để tôi mơ vài phút đã
    • Tôi đã nói từ nhiều năm nay rằng duyệt web bằng smartphone là điều vô lý
      Cuối cùng rồi khi mọi thứ đủ tệ, người ta sẽ đồng ý với tôi thôi

  • Không thể tin được là họ quảng bá thử thách dựa trên mã QR như một cách “tác nhân” để chống gian lận
    Bắt người ta nhập dữ liệu mà con người không đọc được là nguy hiểm, và nếu mã QR bị nhiễm một URL zero-day thì coi như xong
    Tôi biết bây giờ mã QR ở khắp mọi nơi, nhưng nhắm mắt quét mã QR chỉ để truy cập URL thì chẳng khác gì chạy một file nhị phân tải từ Internet
    Cách cài đặt kiểu curl $URL | bash về bản chất cũng đúng là như thế, nhưng chẳng hiểu sao nó lại lan rộng đến vậy

  • Tôi sẽ không mua hàng từ những công ty yêu cầu quét mã QR mới được mua

    • Ở Trung Quốc chắc quan điểm đó khó trụ lâu
      Ở đó gần như đi đâu cũng quét mã QR để thanh toán
    • Nhiều nhà hàng trong cửa hàng bắt buộc gọi món bằng mã QR
      Nó bắt đầu từ thời COVID nhưng vẫn còn duy trì, và theo trải nghiệm của tôi thì đặc biệt phổ biến ở ngoài nước Mỹ
    • Rồi chuyện đó cũng sẽ tới thôi
      Lũ ngốc ở Poshmark từng yêu cầu giấy tờ tùy thân do chính phủ cấp để mua một cái áo sơ mi 35 đô
      Đó là tài khoản cũ, địa chỉ cũng trùng với thẻ tín dụng, vậy mà vẫn thế
      Câu trả lời duy nhất là xóa tài khoản

  • Tính năng mã QR này có vẻ sau khi mọi người quen rồi thì có thể bị lừa để biến thành phương tiện phát tán Pegasus

    • Quét mã QR → tự động chuyển sang Play Store vì báo là chưa cài “ứng dụng captcha” → tải mã độc do quy trình kiểm duyệt tệ hại của Google Play → lời to
      Chắc tôi không phải người đầu tiên nghĩ đến chuyện này đâu nhỉ?
    • Nhìn chung chỉ biết thở dài, và thấy phải “biết ơn” những “nhà lãnh đạo tiên phong” đã khiến mọi thứ tệ hơn từng chút một
      Nhưng đổi lại thì thiên đường AI đang đến, đúng không?
      Đúng không?

  • Tôi thực sự muốn hỏi: nếu không có smartphone thì sao?

    • Điều đó có nghĩa là bạn là tá điền nên bạn không quan trọng
      Không cần lo đâu
      Họ sẽ hợp tác với các nhà mạng để trợ giá thiết bị phù hợp với ngân sách của bạn, và khiến bạn có thể mua nó ở mọi cơ hội có thể
    • Thái độ chung của xã hội dường như gần với kiểu “tự mà biến đi”
      Và bạn cũng sẽ phải mua thiết bị mới
      Rất nhiều thứ là app-only hoặc đang dần đi theo hướng đó, kể cả việc đi du lịch đến một số quốc gia nhất định

  • Việc thiết bị di động giờ trở thành thứ bắt buộc để chứng minh mình là “con người” có nghĩa là Google không còn tin vào desktop/nền tảng mở nữa

    • Điều đó được ghi rõ ở đâu?
      Tôi không tìm thấy trong nguyên văn
    • Ai mà tin thứ đó chứ?
      Theo tôi thì nền tảng desktop duy nhất còn được tin tưởng là macOS

  • Thời điểm thật buồn cười
    Suốt tuần vừa rồi tôi bị CAPTCHA hành hạ mỗi lần tìm kiếm từ thanh địa chỉ, và chưa đầy hai giờ trước tôi đã chuyển hết sang DuckDuckGo
    Làm tốt lắm, Google!

  • Tôi đang cố dùng điện thoại ngày càng ít đi
    Lý tưởng nhất là tôi còn muốn quay về dùng feature phone
    Nhưng nếu mọi website đều bắt đầu yêu cầu quét mã QR bằng smartphone đã được chứng nhận thì chiến lược này sẽ gần như bất khả thi

    • Vì thế càng cần nhiều người sớm nhận ra rằng ngay cả với cuộc sống xoay quanh điện thoại mà họ đang sống, vẫn có những lựa chọn thay thế
      Việc sở hữu điện thoại không phải nghĩa vụ, và cũng không nên trở thành nghĩa vụ
      Các chính trị gia cũng nên tỉnh ra đi

  • Google rõ ràng muốn chỉ những mẫu máy được Google phê duyệt mới có thể đi lại trên web