Google Cloud Fraud Defense, tahap evolusi berikutnya dari reCAPTCHA

 (cloud.google.com)
1 poin oleh GN⁺ 1 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Google Cloud meluncurkan Google Cloud Fraud Defense dan memperkenalkannya sebagai platform kepercayaan untuk web agentik, tahap evolusi berikutnya dari reCAPTCHA
  • Fraud Defense dirancang untuk memverifikasi legitimasi bot, manusia, dan agen AI, serta menyediakan intelijen yang dibutuhkan perusahaan untuk melindungi interaksi dan perdagangan digital
  • Dengan dasbor baru dan mesin kebijakan agentik, perusahaan dapat mengukur, mengklasifikasikan, dan mengendalikan aktivitas agentik di situs web, serta mengizinkan atau memblokir berdasarkan skor risiko, jenis otomasi, dan identitas agen
  • Jika potensi tindakan penipuan teridentifikasi dari agen, sistem menggunakan tantangan berbasis kode QR agar manusia ikut campur dan membuktikan keberadaannya, dengan tujuan membuat penipuan otomatis menjadi tidak ekonomis
  • Pelanggan reCAPTCHA yang sudah ada akan otomatis menjadi pelanggan Fraud Defense, tanpa migrasi, tindakan terpisah, atau perubahan harga, dan integrasi serta site key yang ada tetap dipertahankan

Platform kepercayaan untuk web agentik

  • Google Cloud meluncurkan Google Cloud Fraud Defense di Google Cloud Next
  • Fraud Defense adalah tahap evolusi berikutnya dari reCAPTCHA, sebuah platform kepercayaan untuk web agentik(agentic web)
  • Agen AI otonom dapat memperkuat interaksi online dengan menggunakan web publik dan protokol standar industri untuk bernalar, merencanakan, dan menjalankan transaksi kompleks, tetapi juga menciptakan vektor penyalahgunaan dan penipuan baru
  • Fraud Defense memanfaatkan sinyal global yang digunakan untuk melindungi ekosistem Google sendiri agar perusahaan dapat memberikan pengalaman tepercaya bagi pengguna manusia maupun agen AI

Mengukur dan mengendalikan traffic agentik

  • Fraud Defense menyediakan sekumpulan kemampuan yang memungkinkan pelanggan mengukur dan mengendalikan aktivitas agentik di situs web mereka

  • Mengukur aktivitas agentik

    • Dasbor baru memungkinkan pengukuran dan pemahaman aktivitas agentik
    • Traffic agentik diidentifikasi, diklasifikasikan, dan dianalisis dengan menggunakan standar industri seperti Web Bot Auth dan SPIFEE bersama metode yang sudah ada
    • Menghubungkan identitas agen dan identitas manusia agar risiko dan kepercayaan dapat dipahami dengan lebih baik

  • Mesin kebijakan agentik

    • Memberikan kontrol yang lebih rinci di berbagai tahap interaksi pengguna akhir dan sepanjang keseluruhan perjalanan
    • Mesin kebijakan agentik Fraud Defense memungkinkan agen dan pengguna diizinkan atau diblokir berdasarkan kondisi seperti skor risiko, jenis otomasi, dan identitas agen

  • Tantangan tahan AI

    • Jika potensi tindakan penipuan teridentifikasi dari agen, penyedia aplikasi dapat menahan dan memitigasi permintaan berbahaya dengan tantangan baru berbasis kode QR
    • Tantangan ini meminta manusia ikut campur untuk membuktikan keberadaannya, dan dirancang dengan tujuan membuat penipuan otomatis menjadi tidak mungkin secara ekonomi

Dampak bagi pelanggan reCAPTCHA yang sudah ada

  • reCAPTCHA akan tetap menjadi poros utama pertahanan bot dalam platform Fraud Defense yang lebih luas
  • Pelanggan reCAPTCHA yang sudah ada otomatis menjadi pelanggan Fraud Defense
  • Tidak perlu migrasi, tidak perlu tindakan terpisah, dan tidak ada perubahan harga
  • Site key dan integrasi yang ada akan tetap persis sama seperti sekarang

Tiga pendekatan untuk web agentik

  • Mencegah penipuan dan penyalahgunaan di web agentik pada dasarnya harus mengarah pada pengalaman pelanggan yang lebih sederhana
  • Fraud Defense menggunakan tiga pendekatan untuk mewujudkan web agentik yang aman dan mendukung pertumbuhan bisnis

  • Mencegah ancaman yang terus berkembang

    • Fraud Defense melindungi perusahaan dengan intelijen penipuan yang digunakan untuk melindungi berbagai layanan Google
    • Saat ancaman bergeser dari otomasi bot dan traffic tidak valid ke pembajakan agen serta penipuan identitas sintetis berbasis AI dalam skala besar, sistem ini mengidentifikasi ancaman baru sebelum mencapai situs
    • Visibilitas ini didasarkan pada graph intelijen penipuan berskala besar yang sudah melindungi 50% perusahaan Fortune 100 dan lebih dari 14 juta domain di seluruh dunia
    • Ini memberikan tingkat kekebalan kolektif dan kepercayaan terverifikasi yang sulit dicapai hanya dengan data lokal

  • Melindungi perjalanan pelanggan

    • Penyerang tidak membidik endpoint secara terpisah, tetapi membidik perjalanan digital
    • Sifat ini menjadi lebih kuat di web agentik, ketika agen dipercaya menjalankan perjalanan end-to-end
    • Fraud Defense memungkinkan risiko dilihat secara terpadu mulai dari pendaftaran, login, pembayaran, hingga checkout
    • Dengan mengorelasikan data telemetri di seluruh siklus hidup, sistem ini mengidentifikasi kampanye penipuan kompleks multi-tahap yang luput dari point solution yang terpisah
    • Model kepercayaan terpadu ini dilaporkan mampu membedakan aktivitas pelanggan yang sah dari penyalahgunaan canggih, dan mengurangi account takeover (ATO) rata-rata 51%

  • Mempercepat pertumbuhan bisnis

    • Dalam ekonomi agentik, friksi menurunkan konversi
    • Fraud Defense dirancang agar tidak terlihat oleh sebagian besar pengguna, menggantikan puzzle yang mengganggu dengan verifikasi senyap di latar belakang
    • Dengan menggunakan model kepercayaan cerdas, sistem ini memungkinkan pemblokiran presisi terhadap bot, manusia, dan agen berbahaya sambil tetap menerima pengguna yang sah
    • Menurut 2025 Shopify Retail Report, asisten belanja AI diperkirakan akan meningkatkan nilai pesanan rata-rata sebesar 25%

Jalur pemeriksaan tambahan

Bacaan terkait

1 komentar

 
GN⁺ 1 jam lalu
Komentar Hacker News

  • Persyaratan perangkat seluler dijelaskan di sini: https://support.google.com/recaptcha/answer/16609652
    Ke depannya, sepertinya untuk menjelajahi web akan diperlukan perangkat Android terbaru dengan Google Play Services terpasang, atau iPhone/iPad terbaru
    Memang belum ada penyebutan verifikasi integritas perangkat, tetapi arahnya sudah terasa sangat jelas

    • Jika Google Play Services masuk dalam persyaratan, itu harus dibaca sebagai kebutuhan akan perangkat Android tersertifikasi yang bisa melakukan attestation Play Integrity
      Karena hanya itu satu-satunya jalur dukungan resmi untuk mendapatkan Google Play Services
      Dokumen dukungan konsumen seperti ini biasanya tidak menuliskan detail implementasi seperti API apa yang dipakai, dan sekalipun MEETS_DEVICE_INTEGRITY diperlukan, besar kemungkinan itu tidak akan disebutkan di sini
      Misalnya, dokumen konsumen Google Pay juga hanya mengatakan bahwa diperlukan perangkat Android “tersertifikasi” dan kunci layar: https://support.google.com/wallet/answer/12200245
      Kalau menggali sampai akhir FAQ, memang disebutkan bahwa ponsel yang di-root tidak bisa memakai pembayaran tap, tetapi persyaratan itu pada dasarnya sudah tercakup dalam syarat sertifikasi [1]
      Dari sudut pandang Google juga, karena merek dagang yang didaftarkan Google, secara hukum pun Android == Google Android
      Kalau fitur ini tidak memakai attestation perangkat, maka akan mudah dipalsukan sehingga nyaris tidak ada gunanya, dan sepertinya meski awalnya belum dipakai, dalam beberapa tahun ke depan mereka akan mulai memasukkan attestation perangkat lewat A/B testing
      [1] “What to do if you see device is not certified” -> buka “Reset device to fix issue” https://support.google.com/android/answer/7165974
    • Perjalanan GrapheneOS saya akan jadi makin menarik
      Mendorong pengguna masuk ke proses verifikasi identitas resmi Google hanya demi menjelajahi web itu benar-benar kelewatan
      Apakah aplikasi reCAPTCHA untuk iPhone juga memaksa login akun Google?
      Ternyata web tidak perlu sampai verifikasi identitas resmi untuk kehilangan anonimitasnya
    • Cara ini tampaknya juga akan mengharuskan Bluetooth aktif di kedua perangkat
      Setidaknya fitur yang menampilkan kode QR di komputer lalu memverifikasinya dengan passkey di ponsel bekerja seperti itu, dan fitur ini juga terlihat mirip
      Bluetooth dipakai untuk memastikan bahwa kedua perangkat benar-benar berada di lokasi fisik yang sama
    • Kalau ingin mendapatkan traffic situs web, mungkin sekarang saatnya berhenti memakai reCAPTCHA
      Tentu saja semua orang akan tunduk begitu saja, tapi biarkan saya bermimpi beberapa menit
    • Sudah beberapa tahun saya bilang bahwa menjelajahi web lewat smartphone itu tidak masuk akal
      Pada akhirnya, kalau keadaan cukup memburuk, orang-orang akan setuju dengan saya

  • Sulit dipercaya bahwa challenge berbasis QR code dipromosikan sebagai pendekatan “agen” untuk pertahanan penipuan
    Memaksa orang memasukkan data yang tidak bisa dibaca manusia itu berbahaya, dan kalau QR code itu sampai terkontaminasi URL zero-day, habislah sudah
    Saya tahu sekarang QR code ada di mana-mana, tetapi memindai QR code secara membabi buta untuk mengakses URL itu mirip seperti menjalankan binary yang diunduh dari internet
    Cara instalasi curl $URL | bash pada dasarnya persis seperti itu juga, tapi entah kenapa sudah telanjur tersebar luas

  • Saya tidak akan membeli dari perusahaan yang mengharuskan pemindaian QR code untuk melakukan pembelian

    • Di Tiongkok sepertinya sikap itu tidak akan bertahan lama
      Di sana praktiknya memang membayar dengan memindai QR code hampir di mana-mana
    • Banyak restoran di toko memaksa pemesanan lewat QR code
      Itu dimulai saat COVID tetapi tetap bertahan, dan dalam pengalaman saya itu lebih sering terlihat terutama di luar AS
    • Itu akan segera datang
      Orang-orang bodoh di Poshmark meminta identitas resmi yang diterbitkan pemerintah untuk membeli kemeja seharga 35 dolar
      Akunnya sudah lama, dan alamatnya juga cocok dengan kartu kredit, tetapi mereka tetap memintanya
      Satu-satunya jawaban adalah menghapus akun

  • Fitur QR code tampaknya bisa dijadikan sarana distribusi Pegasus lewat penipuan begitu orang-orang sudah terbiasa dengannya

    • Pindai QR code → otomatis dialihkan ke Play Store karena katanya aplikasi “captcha” belum terpasang → unduh malware karena peninjauan Google Play yang buruk → untung
      Rasanya saya bukan orang pertama yang memikirkan ini, kan?
    • Secara keseluruhan saya cuma bisa menghela napas, dan jadi berterima kasih pada “para pemimpin visioner” kita yang terus membuat segalanya sedikit demi sedikit makin buruk
      Tapi sebagai gantinya kita tetap akan mendapat surga AI, kan?
      Kan?

  • Saya sungguh ingin bertanya, kalau tidak punya smartphone bagaimana?

    • Itu artinya kamu cuma budak tani dan tidak penting
      Tidak perlu khawatir
      Mereka akan bekerja sama dengan operator untuk memberi subsidi perangkat sesuai anggaranmu dan membuatnya bisa dibeli di setiap kesempatan yang memungkinkan
    • Sikap masyarakat secara umum tampaknya kurang lebih, “ya sudah, terserah kamu mau tersingkir”
      Dan kamu juga harus membeli perangkat baru
      Banyak hal sudah khusus aplikasi atau sedang bergerak ke arah itu, termasuk bepergian ke negara tertentu

  • Fakta bahwa perangkat seluler kini menjadi syarat untuk membuktikan bahwa seseorang itu “manusia” berarti Google tidak lagi mempercayai desktop/platform terbuka

    • Itu tertulis di mana?
      Saya tidak menemukannya di teks asli
    • Memangnya ada yang mempercayainya?
      Menurut saya satu-satunya platform desktop yang dipercaya itu macOS

  • Timing-nya lucu sekali
    Selama seminggu terakhir saya terus diganggu CAPTCHA setiap kali mencari dari address bar, lalu kurang dari dua jam yang lalu saya ganti semuanya ke DuckDuckGo
    Bagus sekali, Google!

  • Saya sedang mencoba makin mengurangi penggunaan ponsel
    Idealnya saya bahkan ingin beralih ke feature phone
    Tetapi kalau semua situs web mulai mengharuskan pemindaian QR code dengan smartphone tersertifikasi, strategi seperti ini akan jadi nyaris mustahil

    • Karena itu lebih banyak orang perlu segera sadar bahwa bahkan untuk kehidupan yang berpusat pada ponsel yang mereka jalani pun sebenarnya ada alternatif
      Memiliki ponsel bukan kewajiban, dan tidak boleh menjadi kewajiban
      Politisi juga perlu sadar

  • Jelas sekali Google ingin hanya model yang disetujui Google yang bisa berkeliaran di web