أطلقت Cloudflare نظام الكشف عن البوتات على مستوى الجلسة بالأمس
في 13 يوليو 2026، أطلقت Cloudflare محرك Precursor، وهو محرك مستمر للكشف عن البوتات السلوكية يراقب الجلسة بأكملها، وليس فقط لحظة وصول الزائر. يتم تشغيل تحدي Turnstile الحالي الخاص بهم حوالي 3 مليارات مرة يوميا عند تسجيل الدخول والتسجيل والدفع. يوسع Precursor نفس الرؤية من جانب العميل لتشمل كل صفحة بينهما.
الإطار مهم. طرح Turnstile سؤالا واحدا في لحظة واحدة: هل هذا الزائر بشري؟ يطرح Precursor نفس السؤال باستمرار، عبر كل حركة ماوس، وضغطة مفتاح، وتمرير، وتغيير تركيز، ويغذي الإجابة في درجة بوت جارية تتبع الجلسة.
هذا تغيير أكبر مما يبدو عليه البيان الصحفي.
الجلسة هي البصمة الجديدة
لسنوات، جاء الكشف عن البوتات في دفعات قصيرة. حل التحدي، احصل على ملف تعريف الارتباط، وقم بتشغيل طلباتك. حتى عمليات التحقق من مستوى السلك والرأس الأحدث كانت أحداثا لكل طلب. إذا مررت من المسبار الأول، فستكون في الغالب واضحا حتى المسبار التالي.
الكشف السلوكي على مستوى الجلسة يكسر هذا النمط. من منشور إطلاق Cloudflare: يمكن للبوتات تنفيذ JavaScript، واستخدام بيئات متصفح كاملة، واجتياز اختبارات CAPTCHA الفردية دون إثارة الشك. ما يظل من الصعب تكراره هو السلوك البشري المتسق بمرور الوقت.
يستشهدون بفيزياء الإدخال البشري كالجدار الذي تصطدم به الأتمتة. حركة الماوس البشرية عبارة عن قوس، يحده محور المعصم ودوران الساعد. هناك تأخير قابل للقياس بين رؤية مربع الاختيار والنقر عليه (الحمل المعرفي). وحتى اليد الثابتة تتأرجح بتردد رعشة فسيولوجية. تنتج البوتات خطوطا مستقيمة ومنحنيات Bezier نظيفة رياضيا. ينقرون بدقة لا يصل إليها أي إنسان.
أي واحدة من هذه الإشارات قابلة للقراءة بشكل خافت. اجمعها عبر جلسة مدتها خمس دقائق، ويصبح التباين عاليا.
لماذا لم يعد التحديث ينقذك
كانت حيلة التهرب بموجب الكشف لكل طلب واضحة: إذا زادت درجة البوت الخاصة بك، فقم بتحديث الصفحة، وتدوير الهوية، والبدء من جديد. يغلق Precursor هذا الباب.
Cloudflare صريحة: "تحديد النطاق الجلسة مهم لأنه يعني أن البوت لا يمكنه إعادة تعيين توقيعه السلوكي عن طريق تحديث الصفحة أو البدء من جديد بتحد جديد". تتراكم سياق الجلسات المشبوهة. تتبع درجة البوت الزائر.
لكن هذا التغيير يضرب نطاقا متوسطا محددا من كاشطات الأصعب. نموذج التدوير لكل طلب غير المرئي بالكامل كان يخسر بالفعل أمام الشيكات القياسية. لا جديد هناك. المشغلون الواعون حقا بالجلسة، الذين يشغلون هوية متصفح واحدة طوال مدة زيارة مستخدم حقيقي، بخير إلى حد كبير. يعاقب Precursor ما هو موجود بينهما: الفرق التي تدير Puppeteer أو Playwright بافتراضيات معقولة، وتعامل كل URL كوظيفة مستقلة، وتحديثها بين عمليات الزحف لتبدو نظيفة.
هذا النمط من الكشط رخيص لأنه يمكن التخلص منه. يجعل Precursor الاستخدام لمرة واحدة مكلفا.
ماذا يعني هذا لكاشطات وكلاء
هناك مجموعة ثانية تم بناء Precursor بوضوح لالتقاطها: كاشطات الذكاء الاصطناعي الموجهة (agentic AI scrapers). تشير Cloudflare إلى ذلك في العنوان الفرعي: اكتشاف السلوك الموجه باستخدام إشارات مستمرة من جانب العميل (client-side).
تميل وكلاء التصفح المستقلة (من نوع LLM التي تخطط لمهمة وتنفذها خطوة بخطوة) إلى التحرك في دفعات قصيرة وحاسمة. انتقال، استخراج، انتقال، استخراج. بشكل فردي، يبدو كل إجراء كشيء قد يفعله زائر حقيقي. ولكن لا يوجد توقف مؤقت، ولا نمط التمرير للقراءة، ولا تصحيح صغير، ولا تجاوز للهدف. خلال الجلسة، تكون هذه الغيابات واضحة تماما مثل اهتزاز مؤشر الفأرة المزيف.
لذا إذا كنت تبني وكيلا يقوم بالكشط أثناء التفكير، فقد أصبحت ضريبة الفيزياء حقيقية الآن. تشير مدونة Cloudflare إلى أن Precursor "يرفع تكلفة تشغيل الأتمتة من خلال مطالبتهم بمحاكاة جلسة كاملة. وهذا أصعب بكثير في البناء، وأكثر تكلفة في الصيانة، وأقل موثوقية بكثير للتشغيل على نطاق واسع."
هذا هو هدف التصميم بالكامل. ليس جعل الأتمتة مستحيلة، بل جعلها غير مجدية اقتصاديا.
ماذا يعني هذا لفرق البيانات
تتغير ثلاثة أشياء، ولا يوجد أي منها رخيص.
أولا، تحل ميزانيات الجلسات محل ميزانيات الطلبات. إذا كنت تخطط للسعة لهدف محمي بواسطة Cloudflare، فتوقف عن التفكير في عدد الطلبات في الثانية وابدأ في التفكير في الجلسات في الساعة: كم عدد رحلات المستخدم المستقلة والمستمرة التي يمكنك تحملها، وما مدة كل منها؟ الدفعات القصيرة هي البصمة الدقيقة التي تم ضبط Precursor لالتقاطها. ينطبق إعادة التفكير في حسابات proxy التي كتبنا عنها في مايو هنا أيضا. حجم التجمع (Pool size) ليس هو الحد الأقصى، بل واقعية الجلسة.
ثانيا، تميل حسابات البناء مقابل الشراء (build-vs-buy) أكثر نحو الشراء. الحفاظ على كاشط (scraper) ضد مدافع لكل طلب (per-request) هو تكامل لمرة واحدة وتصحيح عرضي. أما الحفاظ عليه ضد مدافع على مستوى الجلسة يعني البحث والتطوير السلوكي المستمر: نماذج الوتيرة (pacing models)، مسارات المؤشر، توزيعات وقت المكوث (dwell-time distributions)، وطريقة للحفاظ على تغطية الاختبار على كل ذلك. إذا كنت مترددا بشأن الاستعانة بمصادر خارجية لجمع بيانات الويب، فإن هذا يجعل الأرقام أسوأ بالنسبة للبناء.
ثالثا، من يقوم بشحن Precursor على نطاق واسع أولا سيضع خط الأساس الجديد للاكتشاف في الصناعة. تحمي Cloudflare ما يقرب من 20% من الويب. إذا قام عملاء التجارة الإلكترونية والتمويل بتشغيل Precursor بقوة خلال الربع القادم، فستشعر مجموعة الكشط (scraping stack) الخاصة بالجميع بذلك، بما في ذلك على المواقع التي لا تقوم بتثبيت Precursor أبدا، لأن نظام المدافعين البيئي يراقب ما ينجح وينسخه بسرعة.
تحول المقياس الزمني الذي لا يسميه أحد
لقد كتبنا عن التحول نحو الاكتشاف السلوكي قبل ثلاثة أشهر. يعد Precursor النسخة المتاحة كمنتج من هذا الاتجاه، وهو يعيد إرساء نافذة القياس.
كان اكتشاف الروبوتات يحدث خلال request واحد. الآن يحدث ذلك عبر جلسة تستمر لعدة دقائق، وأحيانا أطول. هذا التغيير الوحيد يمتد تأثيره إلى كل تكتيكات استخراج البيانات التي كتبت عندما كانت وحدة الاكتشاف عبارة عن استدعاء واحد. إن تدوير proxy، وتشويش header، وتنظيم سرعة الـ request على مستوى الثانية، كلها تفقد أهميتها إذا كانت دالة الخسارة هي التماسك السلوكي عبر 5 دقائق من التفاعل.
السؤال ليس ما إذا كان اكتشاف الروبوتات سيستمر في التطور. هذا أمر مؤكد. بل ما إذا كانت بنية جمع البيانات الخاصة بك لا تزال تفكر في إطار الـ requests بينما يفكر المدافع في إطار الجلسات.