Scraper AI yang agresif membuat pengelolaan wiki jadi jauh lebih sulit

• Trafik scraper AI mengguncang biaya dan stabilitas wiki publik, dan tanpa mitigasi dapat memakai sumber daya komputasi sekitar 10 kali lebih banyak daripada seluruh aktivitas manusia
• Bot kini melampaui User Agent yang mudah dikenali seperti GPTBot, dengan menyamarkan header agar tampak seperti Chrome terbaru dan menghindari pemblokiran lewat proxy residensial yang memutar 1 juta IP per hari
• Wiki mengekspos URL revisi lama, layar edit, dan halaman khusus jauh lebih banyak daripada artikel, sehingga crawling naif dapat melewati cache dan menjadi 50–100 kali lebih mahal daripada permintaan biasa
• Cloudflare Challenge, Anubis, firewall manual, dan deteksi berbasis permintaan perilaku manusia memang efektif, tetapi juga menimbulkan false positive, beban pemeliharaan, dan friksi bagi pembaca
• Pemblokiran ekstrem seperti mewajibkan login atau memberi challenge ke semua trafik bisa mengurangi kontribusi baru, sehingga dibutuhkan diskusi terbuka antar operator dan pendekatan API yang mengubah insentif pengumpulan data bot

Beban yang ditimbulkan scraper AI pada operasional wiki

• Scraping bot untuk data pelatihan LLM meningkat pada skala yang belum pernah terjadi sebelumnya dan mengguncang biaya serta stabilitas situs web publik: masalah terkait juga dibahas di FOSS infrastructure is under attack by AI companies, Are AI bots knocking cultural heritage offline?, dan Smart TV web crawler AI
• Weird Gloop meng-host wiki game besar seperti Minecraft Wiki, OSRS Wiki, dan League Wiki, dan selama tiga tahun terakhir makin banyak menghabiskan waktu untuk menangani trafik bot
• Tanpa mitigasi terus-menerus, bot dapat memakai sekitar 10 kali lebih banyak sumber daya komputasi dibanding seluruh sisanya, termasuk puluhan juta pageview manusia dan puluhan ribu edit per hari
• Wikimedia Foundation juga menerbitkan tulisan tentang dampak crawler pada operasional, wiki farm besar mengalami gangguan dengan tingkat yang berbeda-beda, dan beberapa wiki independen kecil bahkan benar-benar offline
• Diperkirakan sekitar 95% masalah server di ekosistem wiki tahun ini disebabkan oleh scraper buruk

Scraper yang berusaha terlihat seperti manusia

• Bot “resmi” dari perusahaan AI besar seperti GPTBot, ClaudeBot, dan PerplexityBot kadang pernah gagal mematuhi robots.txt, tetapi biasanya masih bisa dikenali dari string User Agent sehingga mudah diblokir lewat pemblokiran bot AI Cloudflare atau nginx
• Setelah webmaster mulai memblokir scraper AI berdasarkan User Agent, bot punya insentif kuat untuk menyamar sebagai trafik manusia
• Sebagian besar trafik scraper AI yang belakangan mencapai wiki mengirim header yang dibuat agar tampak seperti Google Chrome terbaru dan menyusun request dengan cermat
• Sinyal jelas “bot atau manusia sungguhan” yang dulu ada kini menghilang, sehingga pemblokiran jadi lebih sulit

Puluhan juta IP dan penghindaran lewat proxy

• Sebelum 2023, sekitar 95% scraping bermasalah berasal dari satu alamat IP atau subnet pusat data kecil, sehingga pemblokiran berbasis IP atau karakteristik ISP umumnya efektif
• Dengan memakai proxy residensial, pelaku bisa mencuci request scraping melalui jaringan jutaan alamat IP hanya bermodalkan kartu kredit
• Wiki kadang berhadapan dengan scraper yang berputar melalui 1 juta IP per hari, dan trafiknya tampak seperti request sah dari ISP residensial seperti Comcast, AT&T, dan Charter
• Pelanggan terkait kemungkinan besar tidak tahu bahwa IP mereka dipakai sebagai node keluar proxy residensial
• Beberapa pelaku jahat juga memakai pratinjau tautan facebookexternalhit atau Google Translate agar request terlihat datang dari server Google/Facebook dan menyamarkan sumber aslinya
• Dalam beberapa kasus, 99,99% request yang masuk lewat alat URL Google Translate bersifat menyalahgunakan, sehingga sempat perlu merusak alat itu di semua wiki

Crawling “URL bodoh” yang sangat mahal bagi wiki

• Banyak scraper AI memilih URL dengan cara mengunjungi beranda wiki, lalu semua tautan di halaman itu, lalu semua tautan di halaman-halaman berikutnya
• Mereka tampaknya tidak menyadari bahwa robots.txt dan sitemap sudah memberi tahu URL mana yang layak discrape
• OSRS Wiki memiliki sekitar 40 ribu artikel, dan URL inilah yang memuat sebagian besar informasi berguna di situs
• Namun jika memasukkan revisi lama, layar edit, dan halaman khusus, jumlah URL yang bisa dijelajahi mencapai setidaknya 1 miliar
• Crawling naif seperti ini tidak pernah selesai, dan tampaknya menghabiskan banyak sumber daya pada URL yang tidak berguna sebagai data pelatihan LLM
• Request aneh meningkatkan biaya layanan karena melewati lapisan cache seperti MediaWiki parser cache, yang biasanya dipakai request pengguna nyata
• Request dengan cache hit biasanya diproses dalam kurang dari 20 milidetik, tetapi request seperti diff lama sering memakan 1–2 detik
• Metrik tingkat atas seperti “8 juta request bot per hari” atau “bot memakai 65% bandwidth” justru meremehkan masalah
• Bottleneck sebenarnya biasanya kapasitas CPU, dan request bot dengan parameter query aneh sering kali 50–100 kali lebih mahal untuk diproses daripada request biasa

Lonjakan trafik yang tak terlihat dari metrik rata-rata

• Request bot bulanan sekitar 250 juta, atau rata-rata sekitar 100 request per detik, tetapi itu hanya rata-rata jangka panjang
• Scraper sering mengirim lebih dari 1.000 request per detik dalam waktu singkat, sehingga hampir tidak bisa dibedakan dari serangan DDoS tradisional
• Walau dalam jangka panjang bot mungkin hanya menyumbang sekitar 50% dari total penggunaan CPU, lonjakan trafik jahat menyebabkan sekitar 95% perlambatan dan gangguan pada wiki

Struktur yang membuat pelakunya sulit diketahui

• Trafik ini disebut “scraper AI”, tetapi karena semuanya menyamar seperti Google Chrome, sulit mengetahui siapa pihak yang sebenarnya bertanggung jawab atau untuk apa data wiki dipakai
• Pihak yang mungkin terlibat bisa berupa broker data, pengumpulan duplikat oleh frontier lab, atau proyek independen yang punya akses ke proxy residensial
• Seberapa rendah hambatan masuknya pun masih belum jelas
• Jika ada cara yang lebih baik, mereka ingin bisa menghubungi pihak yang benar-benar mengumpulkan data dan mencari metode yang lebih sedikit inefisiensinya

Respons yang sejauh ini efektif

• Cloudflare Challenge dan Anubis

  • Menaruh situs di belakang Cloudflare challenge atau alat seperti Anubis menjadi jauh lebih umum di internet dalam setahun terakhir
  • Sampai tingkat tertentu langkah ini efektif, tetapi ada masa ketika sebagian bot terus berhasil melewati challenge
  • Tampaknya ada perlombaan senjata tak terlihat antara Cloudflare dan pengembang bot; Cloudflare menang sekitar 90%, tetapi 10% sisanya tetap menjadi bagian yang menyulitkan operasional
  • Pembaca nyata tidak suka melihat challenge sebelum bisa mencapai wiki
  • Agar tidak memengaruhi kebanyakan orang, dibutuhkan aturan heuristik yang baik untuk menentukan trafik mana saja yang perlu diberi challenge, tetapi mendeteksi trafik otomatis dengan andal sendiri sudah sulit

• Aturan firewall manual

  • Sebagian besar operator memiliki aturan firewall manual yang disesuaikan dengan infrastruktur dan riwayat serangan mereka
  • Filter semacam ini biasanya didasarkan pada string User Agent, grup IP, atau ASN tertentu
  • Weird Gloop menangani sebagian besar ini di level Cloudflare/CDN, tetapi wiki lain ada yang menanganinya di sisi nginx atau web server
  • Saat ini, User Agent/IP saja sering tidak cukup, sehingga perlu melihat properti request yang lebih kompleks seperti versi HTTP, header, cipher TLS, dan hash terkait ja4

• Mencari “hal yang dilakukan manusia tetapi tidak dilakukan bot”

  • Sudut pandang yang berguna adalah mencari perilaku yang dilakukan manusia secara kolektif tetapi tidak dilakukan bot
  • Pada wiki berbasis MediaWiki, ada beberapa jenis request HTTP yang sering dibuat pengguna browser nyata saat memakai wiki, dan bot biasanya tidak membuatnya
  • Jika sekumpulan trafik yang bisa dipisahkan lewat header, hash ja4, dan sebagainya mengunjungi banyak artikel tetapi tidak membuat request “manusia” yang khas, itu menjadi sinyal kuat untuk menerapkan challenge pada trafik tersebut
  • Melihat permintaan perilaku manusia yang tidak ada dalam trafik bot adalah pendekatan yang kuat
  • Mereka mulai membangun sistem yang menganalisis trafik yang “hilang” dan otomatis mengusulkan heuristik berbasis decision tree untuk menentukan trafik mana yang perlu diberi challenge
  • Dalam pengujian, sistem ini tampak mampu menemukan hampir semua scraper, tetapi belum jelas false positive seperti apa yang mungkin muncul pada orang dengan kebiasaan penelusuran tidak biasa, seperti pengguna NoScript, screen reader, atau perangkat yang tidak terduga
  • Membangun dan memelihara infrastruktur ML/analisis data sendiri secara permanen juga tetap menjadi beban

• Teknik deteksi yang lebih eksotis

  • Ada kasus sukses mengidentifikasi proxy residensial lewat ketidakcocokan timing TCP/TLS
  • Ada juga perusahaan yang menjual database real-time IP proxy residensial
  • Namun karena sebagian besar proxy residensial juga dipakai orang sungguhan pada saat yang sama, belum jelas sejauh mana hal itu bisa dijadikan sinyal pemblokiran yang layak dijalankan
  • Pihak seperti Cloudflare atau penyedia cloud besar yang memiliki informasi jaringan tingkat paket dari trafik dalam skala sangat besar tampaknya berada pada posisi yang bisa membangun heuristik bagus dalam skala besar
  • Namun, termasuk untuk produk komersial pendeteksi bot dengan biaya tahunan enam digit, belum pernah ditemui operator yang benar-benar terkesan dengan heuristik produk komersial

Opsi ekstrem yang buruk bagi pembaca

• “Opsi nuklir” untuk menghentikan scraper AI jauh lebih merusak bagi pengguna nyata
• Salah satu cara yang umum adalah mewajibkan login untuk melihat halaman yang biaya pembuatannya bisa tinggi
• Fandom menerapkan langkah seperti ini di semua wiki beberapa bulan lalu
• Cara lain adalah memberi Cloudflare challenge pada semua trafik
• Dari sudut pandang webmaster ini bisa dimengerti, tetapi buruk bagi kesehatan jangka panjang wiki dan komunitas
• Pelajaran inti dari 16 tahun membangun komunitas wiki adalah bahwa cara terbaik menarik kontributor baru adalah menghilangkan friksi
• Perlu membuat pengeditan lebih mudah, memudahkan penjelajahan struktur internal wiki, dan menurunkan hambatan masuk antara pembaca dan editor
• Teknik antibot yang ekstrem menciptakan friksi baru dan menghasilkan akibat yang mudah diprediksi
• Setelah Fandom menyembunyikan “halaman internal” dari lebih dari 95% pembaca tanpa akun, kontribusi pengguna baru di seluruh Fandom dilaporkan turun sekitar 40%
• Sulit menganggap trade-off seperti ini layak

Arah ke depan

• Weird Gloop masih terus meng-host wiki, dan juga terus membantu wiki yang ingin keluar dari Fandom
• Dalam jangka panjang, “AI Overviews” bisa membunuh jalur yang mengubah pembaca wiki menjadi kontributor wiki, tetapi itu dibiarkan sebagai masalah terpisah
• Beberapa kenalan menganggap gelombang bot ini mungkin justru menguntungkan Weird Gloop, tetapi jika orang tidak bisa dengan mudah meng-host wiki, internet akan menjadi lebih buruk
• Skenario di mana hosting wiki yang andal membutuhkan rotasi on-call, engineer ML, dan produk enterprise adalah kabar yang sangat buruk bagi komunitas wiki independen
• Perlombaan senjata antara pemilik bot dan webmaster kemungkinan akan terus berlanjut sampai muncul cara cerdas untuk mengubah insentif struktural dari scraping
• Crawling API baru dari Cloudflare bisa mengubah situasi jika memakai API lebih mudah bagi bot daripada membuat sistem sendiri yang mengabaikan robots.txt dan menimbulkan masalah
• Akan lebih baik jika scraping tidak terjadi sama sekali, tetapi sulit membalikkan apa yang sudah terlanjur terjadi

Perlunya diskusi terbuka dan kerja sama

• Ribuan operator mengelola situs web mereka masing-masing sambil mencari teknik yang lebih cerdas untuk menghadapi bot
• Dalam percakapan privat dengan administrator sistem lain, ada banyak ide bagus dan konkret, dan kemungkinan besar banyak diskusi juga berlangsung di Slack, Discord, dan kelompok kecil
• Diperlukan lebih banyak diskusi terbuka tentang rincian operasional yang nyata
• Banyak administrator sistem belum cukup menyadari bahwa masalah yang mereka hadapi hampir sama dengan operator lain
• Tidak semua orang ingin memublikasikan metode pertahanan mereka sendiri, dan ada juga kekhawatiran bahwa keunggulan akan hilang jika dipublikasikan
• Meski begitu, jika bisa membantu orang saling bertukar pikiran, risiko berkurangnya efektivitas sebagian taktik tetap layak diambil
• Administrator sistem yang menangani scraper AI sebaiknya membagikan metode yang efektif di ruang yang paling sesuai bagi mereka
• Perusahaan yang menjual produk penyelesaian masalah bot seharusnya lebih banyak memublikasikan studi kasus dengan data nyata tentang rasio precision and recall dalam situasi yang tidak direkayasa
• Orang yang membuat keputusan pembelian peduli pada hasil nyata, bukan sekadar mencentang kotak fitur
• Jika Anda mengelola wiki atau situs web independen dan ingin membahas deteksi bot, Anda bisa menghubungi lewat email atau pesan Discord