Luned� Cloudflare ha presentato Precursor, un sistema di rilevamento dei bot che smette di controllare l'identit� del visitatore all'ingresso e comincia a osservare come si comporta una volta dentro. Invece di chiedere una prova d'umanit� in un singolo momento, valuta l'intera sessione di navigazione. L'azienda inquadra la mossa in un dato che ha appena superato una soglia simbolica: secondo il suo conteggio, il traffico automatizzato genera ormai circa il 57% di tutte le richieste web, pi� di quello prodotto dagli esseri umani. Il modello difensivo classico funziona come un buttafuori che controlla un documento all'ingresso: il CAPTCHA chiede una volta di dimostrare di essere umani, poi lascia passare. Il problema � che i bot moderni superano quel singolo passaggio senza difficolt�. Eseguono JavaScript, girano dentro browser reali, risolvono i CAPTCHA senza destare sospetti. "I controlli di sicurezza tradizionali osservano un singolo istante nel tempo, ma i bot moderni sono diventati abbastanza abili da farsi largo con l'inganno oltre la porta d'ingresso", ha dichiarato Dane Knecht, chief technology officer di Cloudflare. Lo spazio tra il login e il pagamento, ha aggiunto, era una scatola nera; Precursor nasce per aprirla. La fisica di essere umani Precursor osserva tutta la visita: movimenti del puntatore, ritmo di battitura, scorrimento, uso degli appunti, quanto a lungo una pagina resta visibile. Falsificare un clic � facile, falsificare un'intera visita umana � un problema di ingegneria concreto. Il punto pi� interessante � come i bot si tradiscono. Quando uno sviluppatore prova a rendere umano il movimento del mouse, aggiunge rumore casuale o ritardi variabili. Ma la mano vera non � soltanto irregolare: � vincolata dalla fisica. Il polso ruota, e lo spostamento tende a disegnare un arco; c'� un ritardo misurabile tra l'istante in cui l'occhio vede una casella e quello in cui la mano la clicca; persino la mano pi� ferma oscilla a una frequenza di tremore fisiologico. I bot, al contrario, vengono smascherati proprio dalla loro perfezione: si muovono lungo linee perfettamente dritte o curve di B�zier matematicamente ideali, e cliccano con una precisione che nessuna mano umana potrebbe eguagliare. Singole interazioni possono sembrare plausibili, ma sull'arco di una sessione i pattern divergono in modi difficili da imitare. Una firma che non si azzera Sul piano tecnico, quando Precursor � attivo Cloudflare inietta automaticamente uno script leggero e offuscato nelle risposte HTML del sito mentre attraversano la sua rete, senza configurazione n� connessioni aggiuntive. Lo script raccoglie i segnali di interazione e li invia a intervalli regolari ai server di frontiera, dove una batteria di valutatori li incrocia: verifica per esempio che l'attivit� del puntatore corrisponda al tempo in cui la pagina � rimasta visibile, o che gli eventi da tastiera scattino solo quando un campo di testo � a fuoco. Il dato � legato alla sessione, ed � il dettaglio che conta: un bot non pu� azzerare la propria firma comportamentale ricaricando la pagina o ripartendo da una nuova verifica. Il segnale si accumula nel tempo, ed � proprio la coerenza del comportamento umano lungo l'intera durata a risultare difficile da replicare. Sul fronte privacy l'azienda mette le mani avanti. L'attivit� da tastiera, dice, viene registrata come tempo e ritmo, non come i tasti effettivamente premuti; i segnali sono valutati come pattern aggregati e non vengono legati ad account, identit� di login o profili persistenti. Resta il fatto che un software capace di osservare come una persona muove il mouse e digita per tutta la durata di una visita solleva pi� di una domanda, tema che ha accompagnato l'annuncio. Il traffico dei bot smistato per intento Precursor � una tessera di un ridisegno pi� ampio. Cloudflare ha iniziato a distinguere il traffico automatizzato in base all'intento: i bot di ricerca che indicizzano una pagina per rispondere pi� tardi, gli agenti che agiscono in tempo reale per conto di una persona, e i bot di addestramento che assorbono i contenuti dentro un modello. Dal 15 settembre, sui nuovi siti dietro Cloudflare, le ultime due categorie verranno bloccate per impostazione predefinita sulle pagine che ospitano pubblicit�, mentre i bot di ricerca continueranno a passare. La logica � economica: chi riporta lettori sul sito resta il benvenuto, chi si limita a prelevare contenuti meno. Precursor � in distribuzione da ora, attivabile dalla dashboard e senza modifiche al sito, con la scelta tra una modalit� a bassa frizione che osserva in sottofondo e una che pretende una sessione verificata. Sar� gratuito fino al rilascio generale previsto entro fine anno, poi affiancher� stabilmente Turnstile nel Bot Management enterprise: il controllo che Cloudflare dichiara di eseguire quasi 3 miliardi di volte al giorno sui punti pi� sensibili, dal login alla registrazione al pagamento.