Google a lancé Cloud Fraud Defense à la conférence Next '26, élargissant reCAPTCHA en une plateforme de signaux de fraude qui note l'activité des « humains, bots et agents IA » sur les flux d'inscription, login et paiement. Les clients reCAPTCHA existants sont auto-enrôlés, les site keys restent, et la surface d'intégration ne bouge pas — ce qui change, c'est le sens du risk score que Google retourne et les catégories de fraude que le système prétend modéliser.
La divulgation technique est mince. Google dit que le système combine sa threat intelligence globale avec du machine learning pour détecter des « tentatives de fraude coordonnées », mais l'annonce ne spécifie pas l'architecture du modèle, l'ensemble de features, ni le taux de faux positifs. Ce qui est concret : les mêmes API reCAPTCHA retournent des risk scores plus des reason codes ; Jian Zhen, lead product manager chez Google, l'a cadré comme « vos site keys et intégrations existantes restent exactement comme aujourd'hui ». Pricing : 10 000 évaluations par mois gratuites, puis au volume, sans changement annoncé au pricing reCAPTCHA existant. reCAPTCHA reste « le pilier core de bot defense » ; Fraud Defense se layer dessus.
La catégorie intéressante, c'est la troisième : agents IA. Le fait que Google nomme les agents IA comme une classe de signal distincte — séparée des humains et des bots — c'est la première reconnaissance majeure par une plateforme de fraud-detection que l'automation de navigateur par des agents pilotés par un utilisateur légitime (Claude Code avec accès browser, Operator d'OpenAI, les divers frameworks browser-use) est désormais une part de trafic significative qui ne fit ni « humain qui remplit le formulaire » ni « bot qui essaie de rentrer ». Pour les builders qui shippent des features agentiques qui touchent des sites tiers, le problème du bypass de captcha disparaît pas — Cloud Fraud Defense devient ce contre quoi ton trafic agent sera évalué, et « je suis un agent autorisé qui agit pour un humain » est pas une catégorie que les primitives de risk-score existantes expriment.
Lundi matin : si tu utilises reCAPTCHA Enterprise aujourd'hui, t'es déjà client de Fraud Defense selon l'annonce — check si ton code consumer du risk score gère un set élargi de reason codes, parce que des nouvelles valeurs vont probablement atterrir. Si tu bâtis des agents user-facing qui POST sur des sites tiers, t'as pas encore un handshake clean pour te déclarer comme agent autorisé agissant pour un user loggé ; attends-toi à ce que ça devienne sa propre couche de protocole sur les prochaines deux années. Watch pour la divulgation des faux positifs et la taxonomie publiée des reason codes avant de changer la façon dont tu agis sur le score.