Google Cloud Fraud Defense, die nächste Evolutionsstufe von reCAPTCHA

 (cloud.google.com)
1 Punkte von GN⁺ 1 시간 전 | 1 Kommentare | Auf WhatsApp teilen
  • Google Cloud hat Google Cloud Fraud Defense vorgestellt und positioniert es als die nächste Evolutionsstufe von reCAPTCHA, eine Vertrauensplattform für das agentische Web
  • Fraud Defense wurde entwickelt, um die Legitimität von Bots, Menschen und KI-Agenten zu verifizieren und Unternehmen die nötige Intelligenz bereitzustellen, um digitale Interaktionen und den Online-Handel zu schützen
  • Mit einem neuen Dashboard und einer agentischen Policy Engine lassen sich agentische Aktivitäten auf Websites messen, klassifizieren und steuern; je nach Risikowert, Automatisierungstyp und Agentenidentität kann Zugriff erlaubt oder blockiert werden
  • Wenn bei Agenten potenziell betrügerisches Verhalten erkannt wird, fordert eine QR-Code-basierte Challenge menschliches Eingreifen an, um die eigene Existenz nachzuweisen; Ziel ist es, automatisierten Betrug wirtschaftlich unattraktiv zu machen
  • Bestehende reCAPTCHA-Kunden werden automatisch zu Fraud-Defense-Kunden; ohne Migration, zusätzliche Maßnahmen oder Preisänderungen bleiben bestehende Site-Keys und Integrationen unverändert erhalten

Vertrauensplattform für das agentische Web

  • Google Cloud hat auf der Google Cloud Next Google Cloud Fraud Defense vorgestellt
  • Fraud Defense ist die nächste Evolutionsstufe von reCAPTCHA, eine Vertrauensplattform für das agentische Web (agentic web)
  • Autonome KI-Agenten können Online-Interaktionen verbessern, indem sie das offene Web und branchenübliche Protokolle zum Schlussfolgern, Planen und Ausführen komplexer Transaktionen nutzen, schaffen aber zugleich neue Vektoren für Missbrauch und Betrug
  • Fraud Defense nutzt globale Signale zum Schutz des eigenen Google-Ökosystems, damit Unternehmen sowohl menschlichen Nutzern als auch KI-Agenten vertrauenswürdige Erfahrungen bieten können

Messung und Steuerung agentischen Traffics

  • Fraud Defense bietet Kunden ein Bündel an Funktionen, mit denen sie agentische Aktivitäten auf ihren Websites messen und steuern können

  • Messung agentischer Aktivitäten

    • Ein neues Dashboard macht es möglich, agentische Aktivitäten zu messen und besser zu verstehen
    • Mithilfe von Industriestandards wie Web Bot Auth, SPIFEE sowie bestehenden Verfahren wird agentischer Traffic identifiziert, klassifiziert und analysiert
    • Die Verknüpfung von Agentenidentität und menschlicher Identität ermöglicht ein besseres Verständnis von Risiko und Vertrauen

  • Agentische Policy Engine

    • Sie bietet granularere Kontrolle über mehrere Phasen der Endnutzerinteraktion und über die gesamte Journey hinweg
    • Die agentische Policy Engine von Fraud Defense erlaubt es, Agenten und Nutzer auf Basis von Bedingungen wie Risikowert, Automatisierungstyp und Agentenidentität zuzulassen oder zu blockieren

  • KI-resistente Challenge

    • Wenn bei einem Agenten potenziell betrügerisches Verhalten erkannt wird, können Anwendungsanbieter mit einer neuen QR-Code-basierten Challenge bösartige Anfragen abschrecken und eindämmen
    • Diese Challenge fordert menschliches Eingreifen, um die eigene Existenz nachzuweisen, und wurde mit dem Ziel entwickelt, automatisierten Betrug wirtschaftlich unmöglich zu machen

Auswirkungen auf bestehende reCAPTCHA-Kunden

  • reCAPTCHA bleibt als zentrale Bot-Abwehrkomponente der breiteren Fraud-Defense-Plattform bestehen
  • Bestehende reCAPTCHA-Kunden werden automatisch zu Fraud-Defense-Kunden
  • Es ist keine Migration erforderlich, keine zusätzliche Maßnahme nötig, und es gibt keine Preisänderung
  • Bestehende Site-Keys und Integrationen bleiben exakt wie bisher erhalten

Drei Ansätze für das agentische Web

  • Die Verhinderung von Betrug und Missbrauch im agentischen Web sollte grundsätzlich zu einfacheren Kundenerlebnissen führen
  • Fraud Defense verfolgt drei Ansätze, um ein sicheres agentisches Web zu ermöglichen und Geschäftswachstum zu unterstützen

  • Schutz vor sich weiterentwickelnden Bedrohungen

    • Fraud Defense schützt Unternehmen mit der Betrugsintelligenz, die auch zum Schutz vieler Google-Dienste eingesetzt wird
    • Während sich Bedrohungen von Bot-Automatisierung und ungültigem Traffic hin zu Agentenübernahmen und groß angelegtem KI-basiertem synthetischem Identitätsbetrug verlagern, identifiziert es neu entstehende Bedrohungen, bevor sie eine Website erreichen
    • Diese Transparenz basiert auf einem groß angelegten Fraud-Intelligence-Graphen, der bereits 50 % der Fortune-100-Unternehmen und mehr als 14 Millionen Domains weltweit schützt
    • Das bietet eine Form kollektiver Immunität und verifiziertes Vertrauen auf einem Niveau, das mit rein lokalen Daten schwer zu erreichen ist

  • Schutz der Customer Journey

    • Angreifer zielen nicht auf einzelne Endpunkte, sondern auf die digitale Journey
    • Im agentischen Web, in dem Agenten mit End-to-End-Journeys betraut werden, verstärkt sich diese Eigenschaft noch
    • Fraud Defense ermöglicht einen integrierten Blick auf Risiken von Registrierung über Login und Zahlung bis zum Checkout
    • Durch die Korrelationsanalyse von Telemetriedaten über den gesamten Lebenszyklus hinweg lassen sich komplexe mehrstufige Betrugskampagnen erkennen, die isolierte Point Solutions übersehen
    • Dieses integrierte Vertrauensmodell unterscheidet legitime Kundenaktivitäten von ausgefeiltem Missbrauch und hat Berichten zufolge Account Takeover (ATO) im Durchschnitt um 51 % reduziert

  • Beschleunigung des Geschäftswachstums

    • In der agentischen Ökonomie senkt Reibung die Conversion
    • Fraud Defense ist so konzipiert, dass es für die meisten Nutzer unsichtbar bleibt, und ersetzt störende Puzzles durch stille Hintergrundverifikation
    • Mithilfe intelligenter Vertrauensmodelle können bösartige Bots, Menschen und Agenten präzise blockiert werden, während legitime Nutzer zugelassen werden
    • Laut dem 2025 Shopify Retail Report sollen KI-Shopping-Assistenten den durchschnittlichen Bestellwert um 25 % steigern

Weitere Wege zur Vertiefung

Verwandte Beiträge

1 Kommentare

 
GN⁺ 1 시간 전
Hacker-News-Kommentare

  • Die Anforderungen für Mobilgeräte stehen hier: https://support.google.com/recaptcha/answer/16609652
    Es sieht so aus, als bräuchte man zum Surfen im Web künftig ein aktuelles Android-Gerät mit installiertem Google Play Services oder ein aktuelles iPhone/iPad.
    Geräteintegritätsprüfung wird zwar noch nicht erwähnt, aber die Richtung scheint bereits offensichtlich.

    • Wenn Google Play Services Teil der Anforderungen sind, muss man das wohl so verstehen, dass ein zertifiziertes Android-Gerät nötig ist, das Play-Integrity-Nachweise liefern kann.
      Denn das ist der einzige offiziell unterstützte Weg, um Google Play Services zu bekommen.
      In solchen Support-Dokumenten für Endnutzer stehen üblicherweise keine Implementierungsdetails wie die verwendeten APIs, und selbst wenn MEETS_DEVICE_INTEGRITY erforderlich wäre, würde das hier vermutlich nicht ausdrücklich stehen.
      Zum Beispiel sagen auch die Endnutzer-Dokumente zu Google Pay nur, dass ein „zertifiziertes“ Android-Gerät und eine Bildschirmsperre nötig sind: https://support.google.com/wallet/answer/12200245
      Wenn man sich bis ans Ende der FAQ durchgräbt, steht dort zwar, dass kontaktloses Bezahlen mit einem gerooteten Handy nicht funktioniert, aber diese Anforderung ist im Zertifizierungszwang eigentlich bereits enthalten [1].
      Auch aus Googles Sicht gilt wegen der von Google eingetragenen Marken rechtlich im Grunde Android == Google Android.
      Wenn diese Funktion keine Geräteattestierung nutzt, wäre sie leicht auszutricksen und hätte kaum einen Sinn; vermutlich wird sie anfangs noch nicht verwendet, aber in den nächsten Jahren per A/B-Tests schrittweise mit Geräteattestierung eingeführt.
      [1] „What to do if you see device is not certified“ -> „Reset device to fix issue“ aufklappen https://support.google.com/android/answer/7165974
    • Meine GrapheneOS-Reise wird wohl noch spannender.
      Es ist schon heftig, Nutzer zum Surfen im Web in offizielle Google-Identitätsprüfungen hineinzudrängen.
      Erzwingt die reCAPTCHA-App für iPhone auch einen Google-Account-Login?
      Offenbar brauchte es nicht einmal eine Ausweisprüfung, damit das Web seine Anonymität verliert.
    • Es sieht auch so aus, als müsste bei dieser Methode auf beiden Geräten Bluetooth aktiviert sein.
      Zumindest ist das bei der Funktion so, bei der man den auf dem Computer angezeigten QR-Code scannt und sich mit dem Passkey auf dem Handy authentifiziert, und das hier wirkt ähnlich.
      Bluetooth wird verwendet, um zu prüfen, ob sich beide Geräte tatsächlich physisch am selben Ort befinden.
    • Wenn man Website-Traffic haben will, muss man jetzt vielleicht aufhören, reCAPTCHA zu verwenden.
      Klar, alle werden sich gehorsam fügen, aber lasst mich wenigstens ein paar Minuten träumen.
    • Ich sage seit Jahren, dass es unsinnig ist, mit dem Smartphone im Web zu surfen.
      Irgendwann wird die Lage so schlecht, dass die Leute mir zustimmen werden.

  • Ich kann kaum glauben, dass QR-Code-basierte Challenges als „agentische“ Methode der Betrugsabwehr vermarktet werden.
    Menschen Daten eingeben zu lassen, die sie nicht lesen können, ist riskant, und wenn ein QR-Code mit einer Zero-Day-URL vergiftet ist, ist es vorbei.
    Ich weiß, dass QR-Codes heute überall sind, aber einen QR-Code blind zu scannen, nur um an eine URL zu kommen, ist ähnlich, als würde man ein aus dem Internet heruntergeladenes Binary ausführen.
    Die Installationsmethode curl $URL | bash ist im Kern genau das Gleiche, hat sich aber irgendwie breit etabliert.

  • Bei Unternehmen, die verlangen, dass ich zum Kaufen einen QR-Code scanne, werde ich nicht kaufen.

    • In China dürfte man damit nicht lange durchhalten.
      Dort scannt man praktisch überall QR-Codes zum Bezahlen.
    • Viele Restaurants in Geschäften erzwingen Bestellungen per QR-Code.
      Das begann während Corona, ist aber geblieben, und meiner Erfahrung nach sieht man das besonders häufig außerhalb der USA.
    • Das kommt bald.
      Diese Idioten von Poshmark wollten für den Kauf eines 35-Dollar-Hemds einen amtlichen Ausweis.
      Es war ein alter Account, und die Adresse stimmte sogar mit der Kreditkarte überein.
      Die einzige Antwort ist, den Account zu löschen.

  • Die QR-Code-Funktion sieht so aus, als könnte man sie, sobald sich die Leute daran gewöhnt haben, per Täuschung zu einem Pegasus-Verteilungsweg machen.

    • QR-Code scannen → automatische Weiterleitung zum Play Store mit dem Hinweis, dass die „captcha app“ nicht installiert ist → Malware-Download wegen der miserablen Google-Play-Prüfung → Profit.
      Ich kann doch unmöglich der Erste sein, dem dieser Gedanke kommt?
    • Insgesamt ist das alles zum Seufzen, und ich bin unseren „visionären Führungskräften“ dankbar, die alles Stück für Stück ein bisschen schlechter machen.
      Aber dafür kommt doch sicher ein KI-Paradies, oder?
      Oder?

  • Ernst gemeinte Frage: Was passiert, wenn man kein Smartphone hat?

    • Das heißt, dass du ein Leibeigener bist und deshalb nicht wichtig.
      Du musst dir keine Sorgen machen.
      In Zusammenarbeit mit den Mobilfunkanbietern wird man dir ein subventioniertes Gerät passend zu deinem Budget bereitstellen und dafür sorgen, dass du bei jeder Gelegenheit eines kaufen kannst.
    • Die gesellschaftliche Grundhaltung scheint ungefähr „Dann verpiss dich halt“ zu sein.
      Und du wirst auch noch ein neues Gerät kaufen müssen.
      Vieles ist nur noch per App nutzbar oder bewegt sich in diese Richtung, einschließlich Reisen in bestimmte Länder.

  • Dass Mobilgeräte nun nötig sind, um zu beweisen, dass man „ein Mensch“ ist, bedeutet, dass Google Desktop-/offenen Plattformen nicht mehr vertraut.

    • Wo steht das denn ausdrücklich?
      Ich kann das im Original nicht finden.
    • Wer vertraut denen denn überhaupt?
      Soweit ich sehe, ist macOS die einzige Desktop-Plattform, der noch vertraut wird.

  • Das Timing ist schon lustig.
    In der letzten Woche wurde ich jedes Mal mit CAPTCHAs genervt, wenn ich über die Adressleiste gesucht habe, und vor nicht einmal zwei Stunden habe ich komplett auf DuckDuckGo umgestellt.
    Gut gemacht, Google!

  • Ich versuche ohnehin, mein Handy immer weniger zu benutzen.
    Im Idealfall würde ich sogar gerne auf ein Feature-Phone umsteigen.
    Aber wenn jede Website anfängt, das Scannen von QR-Codes mit einem zertifizierten Smartphone zu verlangen, wird diese Strategie dadurch fast unmöglich.

    • Umso eher müssen mehr Menschen begreifen, dass es Alternativen zu ihrem handyzentrierten Leben gibt.
      Ein Handy zu besitzen ist keine Pflicht und darf auch keine werden.
      Politiker sollten auch langsam aufwachen.

  • Google will offenbar ganz klar, dass nur von Google genehmigte Modelle im Web unterwegs sein dürfen.