Cloudflare Shipped Session-Scoped Bot Detection Yesterday
На 13 юли 2026 г. Cloudflare пусна Precursor, машина за непрекъснато поведенческо откриване на ботове, която следи цялата сесия, а не само момента, в който посетителят влиза. Тяхното съществуващо предизвикателство Turnstile се изпълнява около 3 милиарда пъти на ден при влизане, регистрация и плащане. Precursor разширява същата видимост от страна на клиента към всяка страница между тях.
Рамкирането има значение. Turnstile задаваше един въпрос в един момент: човек ли е този посетител? Precursor задава същия въпрос непрекъснато, при всяко движение на мишката, натискане на клавиш, превъртане и промяна на фокуса, и подава отговора към текущ bot score, който следва сесията.
Това е по-голяма промяна, отколкото прессъобщението подсказва.
The Session Is the New Fingerprint
В продължение на години откриването на ботове идваше на кратки импулси. Решете предизвикателството, вземете cookie, изпълнете вашите requests. Дори по-новите проверки на ниво мрежа и header бяха събития за всеки request. Ако преминете първата проверка, до голяма степен сте чисти до следващата.
Поведенческото откриване в рамките на сесията нарушава този модел. От публикацията за стартиране на Cloudflare: ботовете могат да изпълняват JavaScript, да използват пълни браузърни среди и да преминават отделни CAPTCHA, без да будят подозрение. Това, което остава трудно за възпроизвеждане, е последователното човешко поведение във времето.
Те цитират физиката на човешкото въвеждане като стената, в която се блъска автоматизацията. Движението на човешката мишка е дъга, ограничена от въртенето на китката и ротацията на предмишницата. Има измеримо забавяне между виждането на квадратче за отметка и щракването върху него (когнитивно натоварване). И дори стабилната ръка осцилира с честота на физиологичен тремор. Ботовете произвеждат прави линии и математически чисти криви на Безие. Те щракат с прецизност, която никой човек никога не постига.
Всеки един от тези сигнали е слабо четим. Съберете ги в петминутна сесия и отклонението става силно.
Why Refreshing Doesn't Save You Anymore
Трикът за избягване при откриване на request беше ясен: ако вашият bot score се повиши, опреснете страницата, сменете самоличността, започнете отначало. Precursor затваря тази врата.
Cloudflare е категоричен: "Обхватът на сесията е важен, защото означава, че бот не може да нулира поведенческия си подпис чрез опресняване на страницата или започване отначало с ново предизвикателство." Подозрителните сесии натрупват контекст. Bot score следва посетителя.
Но тази промяна удря най-силно специфична средна група скрапери. Напълно headless моделът с ротация на всеки request вече губеше от стандартните проверки. Нищо ново тук. Операторите, които наистина осъзнават сесията и поддържат една самоличност на браузъра през цялото време на посещението на реален потребител, до голяма степен са добре. Precursor наказва това, което е по средата: екипи, работещи с Puppeteer или Playwright с разумни стойности по подразбиране, третирайки всеки URL като независима задача, опреснявайки между обхожданията, за да изглеждат чисти.
Този стил на извличане на данни е евтин, защото е за еднократна употреба. Precursor прави еднократната употреба скъпа.
What This Means for Agentic Scrapers
Има и втора група, която Precursor ясно е създаден да улавя: AI скрапери, базирани на агенти. Cloudflare го подчертава в подзаглавието: засичане на поведение на агенти с непрекъснати сигнали от страна на клиента.
Автономните агенти за браузване (тези, управлявани от LLM, които планират задача и я изпълняват стъпка по стъпка) са склонни да се движат на кратки, решителни тласъци. Навигиране, извличане, навигиране, извличане. Индивидуално всяко действие изглежда като нещо, което реален посетител би направил. Но няма задържане, няма модел на скролиране за четене, няма малки корекции, няма преминаване отвъд целта. В рамките на една сесия тези липси са толкова очевидни, колкото и фалшивото трептене на мишката.
Така че, ако изграждате агент, който скрапва, докато мисли, физическата цена току-що стана реална. Блогът на Cloudflare отбелязва, че Precursor "повишава цената за опериране на автоматизация, като изисква от тях да симулират пълна сесия. Това е значително по-трудно за изграждане, по-скъпо за поддръжка и много по-малко надеждно за работа в мащаб."
Това е цялата цел на дизайна. Не да направи автоматизацията невъзможна, а да я направи нерентабилна.
Какво означава това за екипите за данни
Три неща се променят и нито едно от тях не е евтино.
Първо, бюджетите за сесии заменят бюджетите за request. Ако планирате капацитет за цел, защитена от Cloudflare, спрете да мислите в request в секунда и започнете да мислите в сесии на час: колко независими, изглеждащи като непрекъснати потребителски пътувания можете да поддържате и колко дълго е всяко едно? Кратките тласъци са точният подпис, който Precursor е настроен да улавя. Преосмислянето на proxy математиката, за което писахме през май, важи и тук. Размерът на пула не е таванът, реализмът на сесията е.
Второ, изчислението "изграждане срещу купуване" се накланя допълнително към купуване. Поддръжката на скрапер срещу защита на ниво request е еднократна интеграция и случаен пач. Поддръжката му срещу защита на ниво сесия означава непрекъсната R&D дейност за поведение: модели на темпо, пътища на курсора, разпределение на времето за престой и начин за поддържане на тестово покритие върху всичко това. Ако сте се колебали относно аутсорсването на събирането на уеб данни, това прави числата по-лоши за вътрешно изграждане.
Трето, който първи внедри Precursor в мащаб, ще зададе новата базова линия за засичане в индустрията. Cloudflare защитава приблизително 20% от мрежата. Ако клиентите от електронната търговия и финансите активират Precursor агресивно през следващото тримесечие, стекът за скрапинг на всички останали ще го усети, включително на сайтове, които никога не инсталират Precursor сами, защото екосистемата на защитниците наблюдава какво работи и копира бързо.
Промяната във времевата скала, която никой не назовава
Писахме за прехода към поведенческо засичане преди три месеца. Precursor е превърнатата в продукт версия на тази тенденция и тя пренастройва прозореца за измерване.
Откриването на ботове преди се случваше в рамките на една заявка. Сега това се случва в рамките на сесия, която продължава минути, понякога и по-дълго. Тази единствена промяна се отразява на всяка тактика за scraping, която е написана, когато единицата за откриване е била едно извикване. Ротацията на проксита, манипулирането на хедъри, регулирането на заявките на ниво секунди, всичко това губи значение, ако функцията на загубата е поведенческата съгласуваност в продължение на пет минути взаимодействие.
Въпросът не е дали откриването на ботове продължава да се развива. Това е даденост. Въпросът е дали вашият стек за събиране на данни все още мисли в заявки, докато защитникът мисли в сесии.