Google 在 Next '26 大會上推出 Cloud Fraud Defense,把 reCAPTCHA 擴展成一個欺詐訊號平台,在註冊、登入與支付流程上為「人類、機器人與 AI 代理」的活動評分。現有的 reCAPTCHA 客戶被自動接入,site key 繼續有效,整合面不變 —— 變的是 Google 回傳的 risk score 的意義,以及系統聲稱要建模的欺詐類別。
技術披露偏薄。Google 說系統把它的全球 threat intelligence 和機器學習結合起來偵測「協同欺詐行為」,但發佈稿沒交代模型架構、新的特徵集合、或誤判率。具體的是:同樣的 reCAPTCHA API 回傳 risk score 加 reason code;Google 的 lead product manager Jian Zhen 這樣定調:「你現有的 site key 和整合保持和今天完全一樣。」定價是每月 10000 次評估免費、之後按量計費,現有的 reCAPTCHA 定價沒變。reCAPTCHA 仍然是「機器人防禦的核心支柱」;Fraud Defense 是疊在上面的一層。
有意思的是第三個類別:AI 代理。Google 把 AI 代理單列成一個被追蹤的訊號類別 —— 跟人類與機器人分開 —— 這是首次有重要的反欺詐平台正式承認:由合法使用者控制的代理所做的瀏覽器自動化(帶瀏覽器存取的 Claude Code、OpenAI 的 Operator、各種 browser-use 框架)現在已經是流量的一個不小的份額,而它既不屬於「人在填表單」,也不屬於「機器人在試圖入侵」。對於發佈會碰到第三方站台的代理功能的 builder 來說,繞過 captcha 的問題並不會消失 —— Cloud Fraud Defense 就成了你的代理流量將被評估的對象,而「我是一個授權的代理,代表一個真人在行動」並不是現有 risk score 原語能表達的類別。
週一上手:如果你今天在用 reCAPTCHA Enterprise,按 Google 公告你已經是 Fraud Defense 客戶 —— 檢查你消費 risk score 的程式碼能不能處理一個更寬的 reason code 集合,因為新的值大概率會上線。如果你在做面向使用者的、會向第三方站台 POST 資料的代理,你目前還沒有一個乾淨的 handshake 來宣告自己是「代表已登入使用者的授權代理」;這件事在未來兩年裡可能會自己長出一層協定。等假陽性數據公開、等 reason code 的分類公開,再去改你對 score 的處理邏輯。