클라우드플레어, 세션 전체 행동 패턴으로 에이전트 탐지하는 Precursor 출시
- 클라우드플레어가 Precursor를 출시함, 클라이언트에 JS를 동적으로 주입해 마우스 움직임 등 상호작용 신호를 세션 전체에 걸쳐 지속 수집하고 실시간 봇 탐지에 반영함
- 기존 Turnstile은 로그인/가입/결제 같은 특정 지점에서 하루 약 30억 회 작동하는데, Precursor는 탐지 범위를 애플리케이션 전체 사용자 여정으로 확장하며 Enterprise Bot Management의 선택적 기능으로 제공됨
- 인간 마우스 움직임은 손목 회전에 따른 호(arc) 궤적, 체크박스 클릭 전 인지 지연, 생리적 손 떨림 주파수 때문에 봇의 직선 이동이나 완벽한 베지어 곡선과 구별됨
- 클라우드플레어는 전체 웹 트래픽의 20% 이상, 하루 1조 건 이상 요청을 분석하는 네트워크 가시성을 이미 확보하고 있으며 여기에 클라이언트 측 행동 신호를 결합함
- HN에서는 지터 추가로 우회 가능성, 접근성 보조기기 사용자 오탐 위험, 클라우드플레어의 봇 판정 권력 집중에 대한 우려가 크게 제기됨
Hacker News opinions
이거 Google Cloud Fraud Defense랑 거의 같은 거 아니야?
이미 다른 봇 탐지 업체들도 다 하는 거고 사람처럼 마우스 움직이는 우회 라이브러리도 벌써 나와있음. 효과 있어봤자 하루임
클라우드플레어가 에이전틱 제품도 팔면서 동시에 에이전트 차단 서비스도 파는 거 좀 웃기지 않냐
좋은 봇 나쁜 봇 구분하는 거라 생각하면 이상할 거 없음. robots.txt 지키는 착한 봇은 서비스 제공받고 몰래 숨기는 나쁜 봇만 걸러내는 거임
봇이 지터 좀 추가해서 사람처럼 움직이게 하면 쉽게 뚫리는 거 아냐?
인간 커서 움직임을 흉내내는 지터를 진짜로 합성하는 건 생각보다 훨씬 어려운 일임
이런 머신러닝 클러스터링은 장애 있는 사람들도 같이 걸러낼 위험이 큼. 한손만 쓰거나 아이트래킹 쓰는 사람 궤적은 전형적인 사용자랑 완전히 다르게 보일 거임
클라우드플레어가 봇 허용/차단의 심판관 역할을 스스로 맡는 게 좀 불안함. 인터넷 전체에 안 좋은 흐름 같음
불만이면 오픈소스 대안 만들면 되지. 구글 애널리틱스 대안도 사람들이 잘 만들었잖아
나 Ultimate Hacking Keyboard 마우스 레이어 쓰는데 내 이동선은 완전 직선이고 방향 전환은 지그재그라서 딱 봇처럼 보일 것 같아 걱정됨
보조기술 쓰는 사용자는 코너 케이스가 아니야, 그렇게 취급하면 안 됨
이 마우스 관상 보는 기술 때문에 시각장애인이나 키보드 전용 사용자들이 인터넷 상당 부분에서 통째로 막힐 것 같은데