Google Cloud Fraud Defense, reCAPTCHA'nın bir sonraki evrim aşaması

 (cloud.google.com)
1 puan yazan GN⁺ 1 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • Google Cloud, Google Cloud Fraud Defense'i kullanıma sundu ve bunu reCAPTCHA'nın bir sonraki evrim aşaması olarak, agentic web için bir güven platformu şeklinde konumlandırdı
  • Fraud Defense; botlar, insanlar ve AI agent'ların meşruiyetini doğrulamak ve şirketlere dijital etkileşimleri ile ticareti korumak için gereken istihbaratı sağlamak üzere tasarlandı
  • Yeni gösterge paneli ve agentic politika motoru ile web sitesindeki agentic aktiviteler ölçülebiliyor, sınıflandırılabiliyor ve kontrol edilebiliyor; risk skoru, otomasyon türü ve agent kimliğine göre izin verme ya da engelleme yapılabiliyor
  • Bir agent'ta potansiyel dolandırıcılık davranışı tespit edilirse, QR kod tabanlı challenge ile bir insanın devreye girip varlığını kanıtlaması isteniyor; amaç otomatik dolandırıcılığı ekonomik olarak zorlaştırmak
  • Mevcut reCAPTCHA müşterileri otomatik olarak Fraud Defense müşterisi olacak; migration, ek işlem ya da fiyat değişikliği olmadan mevcut site key'leri ve entegrasyonlar aynen korunacak

Agentic web için güven platformu

  • Google Cloud, Google Cloud Next etkinliğinde Google Cloud Fraud Defense'i duyurdu
  • Fraud Defense, reCAPTCHA'nın bir sonraki evrim aşaması olarak, agentic web için bir güven platformu
  • Otonom yapay zeka agent'ları, açık web ve sektör standardı protokolleri kullanarak akıl yürütme, planlama ve karmaşık işlemler gerçekleştirme yoluyla çevrimiçi etkileşimleri güçlendirebilir; ancak aynı zamanda yeni kötüye kullanım ve dolandırıcılık vektörleri de oluşturur
  • Fraud Defense, Google'ın kendi ekosistemini korumak için kullandığı küresel sinyallerden yararlanarak şirketlerin hem insan kullanıcılara hem de AI agent'lara güvenilir deneyimler sunmasını sağlar

Agentic trafiği ölçme ve kontrol etme

  • Fraud Defense, müşterilerin web sitelerindeki agentic aktiviteleri ölçüp kontrol edebilmesi için bir dizi özellik sunar

  • Agentic aktiviteyi ölçme

    • Yeni gösterge paneli ile agentic aktiviteler ölçülüp anlaşılabilir hale gelir
    • Web Bot Auth, SPIFEE gibi sektör standartları ile mevcut yöntemler birlikte kullanılarak agentic trafik belirlenir, sınıflandırılır ve analiz edilir
    • Agent kimliği ile insan kimliği ilişkilendirilerek risk ve güven daha iyi anlaşılabilir

  • Agentic politika motoru

    • Son kullanıcı etkileşiminin farklı aşamalarında ve yolculuğun tamamında daha ayrıntılı kontrol sağlar
    • Fraud Defense'in agentic politika motoru; risk skoru, otomasyon türü ve agent kimliği gibi koşullara göre agent'lara ve kullanıcılara izin verilmesini ya da bunların engellenmesini sağlar

  • AI dayanıklı challenge

    • Bir agent'ta potansiyel dolandırıcılık davranışı tespit edildiğinde, uygulama sağlayıcısı yeni QR kod tabanlı challenge ile kötü niyetli istekleri caydırabilir ve azaltabilir
    • Bu challenge, bir insanın devreye girerek varlığını kanıtlamasını ister ve otomatik dolandırıcılığı ekonomik olarak imkânsız hale getirmeyi hedefler

Mevcut reCAPTCHA müşterileri üzerindeki etkisi

  • reCAPTCHA, daha geniş Fraud Defense platformunun temel bot savunma ekseni olarak varlığını sürdürür
  • Mevcut reCAPTCHA müşterileri otomatik olarak Fraud Defense müşterisi olur
  • Migration gerekmez, ek işlem gerekmez ve fiyat değişikliği yoktur
  • Mevcut site key'leri ve entegrasyonlar şu anki haliyle tamamen aynı şekilde korunur

Agentic web için üç yaklaşım

  • Agentic web'de dolandırıcılığı ve kötüye kullanımı engellemek, temelde daha basit bir müşteri deneyimine yol açmalıdır
  • Fraud Defense, güvenli bir agentic web'i mümkün kılmak ve iş büyümesini desteklemek için üç yaklaşım kullanır

  • Gelişen tehditlere karşı koruma

    • Fraud Defense, Google'ın çeşitli hizmetlerini korumakta kullanılan dolandırıcılık istihbaratıyla şirketleri korur
    • Tehditler bot otomasyonu ve geçersiz trafikten, agent ele geçirme ve büyük ölçekli AI tabanlı sentetik kimlik dolandırıcılığına kayarken, siteye ulaşmadan önce yeni ortaya çıkan tehditleri tespit eder
    • Bu görünürlük, Fortune 100 şirketlerinin %50'sini ve dünya genelinde 14 milyondan fazla domain'i zaten koruyan büyük ölçekli bir dolandırıcılık istihbarat grafiğine dayanır
    • Yalnızca yerel verilerle yakalanması zor olan düzeyde toplu bağışıklık ve doğrulanmış güven sağlar

  • Müşteri yolculuğunu koruma

    • Saldırganlar tek tek endpoint'leri değil, dijital yolculuğun tamamını hedef alır
    • Agent'ların uçtan uca yolculukları yürütmekle görevlendirildiği agentic web'de bu özellik daha da belirginleşir
    • Fraud Defense, kayıt, giriş, ödeme ve checkout boyunca riski bütüncül olarak görmeyi sağlar
    • Tüm yaşam döngüsü boyunca telemetri verilerini korelasyonlayarak, birbirinden kopuk point solution'ların kaçırdığı karmaşık çok aşamalı dolandırıcılık kampanyalarını tespit eder
    • Bu birleşik güven modelinin, meşru müşteri aktivitesi ile sofistike kötüye kullanımı ayırt ederek hesap ele geçirmeyi (ATO) ortalama %51 azalttığı belirtiliyor

  • İş büyümesini hızlandırma

    • Agentic ekonomide sürtünme, dönüşümü düşürür
    • Fraud Defense, çoğu kullanıcı için görünmez olacak şekilde tasarlanmıştır ve rahatsız edici bulmacaları sessiz arka plan doğrulamasıyla değiştirir
    • Akıllı güven modelleri kullanarak kötü niyetli botları, insanları ve agent'ları hassas biçimde engellerken meşru kullanıcıları kabul etmeyi sağlar
    • 2025 Shopify Retail Report'a göre AI alışveriş asistanlarının ortalama sipariş tutarını %25 artırması bekleniyor

Ek inceleme yolları

İlgili okumalar

1 yorum

 
GN⁺ 1 시간 전
Hacker News yorumları

  • Mobil cihaz gereksinimleri burada listelenmiş: https://support.google.com/recaptcha/answer/16609652
    Yakında web’de gezinmek için Google Play Services yüklü güncel bir Android cihaz ya da güncel bir iPhone/iPad gerekecekmiş gibi görünüyor
    Henüz cihaz bütünlüğü doğrulamasından bahsedilmiyor ama gidişat zaten oldukça açık görünüyor

    • Google Play Services gereksinimler arasında yer alıyorsa, bunun Play Integrity doğrulaması yapabilen sertifikalı bir Android cihaz gerektiği anlamına geldiğini varsaymak gerekir
      Çünkü Google Play Services’i edinmenin resmi olarak desteklenen tek yolu bu
      Bu tür tüketiciye yönelik destek belgelerinde hangi API’nin kullanıldığı gibi ayrıntılı uygulama detayları genelde yazılmaz ve MEETS_DEVICE_INTEGRITY gerekse bile burada özellikle belirtilmeme ihtimali yüksektir
      Örneğin Google Pay tüketici belgelerinde de yalnızca “sertifikalı” bir Android cihaz ve ekran kilidi gerektiği yazıyor: https://support.google.com/wallet/answer/12200245
      FAQ’yu sonuna kadar incelerseniz root’lu telefonlarda temassız ödeme kullanılamadığı yazıyor ama bu gereksinim zaten sertifikasyon şartının içinde sayılabilir [1]
      Google’ın bakış açısından da, Google’ın tescilli markaları nedeniyle hukuken Android == Google Android sayılıyor
      Bu özellik cihaz doğrulaması kullanmıyorsa kolayca kandırılabilir, dolayısıyla çok anlamlı olmaz; başta kullanmasalar bile önümüzdeki birkaç yıl içinde A/B testi ile cihaz doğrulamasını devreye almaya başlayacaklarmış gibi geliyor
      [1] “What to do if you see device is not certified” -> “Reset device to fix issue” bölümünü açın https://support.google.com/android/answer/7165974
    • GrapheneOS maceram daha da heyecanlı hale gelecek gibi
      Web’de gezinmek için kullanıcıları resmi Google kimlik doğrulama sürecine itmeleri gerçekten sert bir hamle
      iPhone için reCAPTCHA uygulaması da Google hesabıyla giriş yapmayı zorunlu kılıyor mu?
      Web’in anonimliği kaybetmesi için demek ki kimlik doğrulaması gerekmiyormuş
    • Bu yöntemde de muhtemelen her iki cihazda Bluetooth’un açık olması gerekecek
      En azından bilgisayarda gösterilen QR kodunu tarayıp telefondaki passkey ile doğrulama yapan özellikte durum böyle ve bu da ona benziyor
      Bluetooth, iki cihazın gerçekten fiziksel olarak aynı yerde olduğunu doğrulamak için kullanılıyor
    • Web sitesi trafiği almak istiyorsanız artık reCAPTCHA kullanmayı bırakmanız gerekebilir
      Tabii herkes uslu uslu boyun eğecek ama bırakın da birkaç dakikalığına hayal kurayım
    • Yıllardır akıllı telefonla web’de gezinmenin saçma olduğunu söylüyorum
      Sonunda durum yeterince kötüleştiğinde insanlar bana katılacak

  • QR kod tabanlı challenge’ları dolandırıcılık savunmasının “ajanvari” yöntemi gibi pazarlamalarına inanamıyorum
    İnsanlara insanın okuyamayacağı verileri girdirtmek riskli ve QR kod zero-day URL ile kirletilirse iş biter
    Günümüzde QR kodların her yerde olduğunu biliyorum ama bir URL’ye erişmek için gözü kapalı QR kod taramak, internetten indirilen bir binary’yi çalıştırmaya benziyor
    curl $URL | bash kurulum yöntemi de özünde tam olarak bu ama nedense yaygınlaştı

  • Satın almak için QR kod taratmayı şart koşan şirketlerden alışveriş yapmam

    • Çin’de bu tavır uzun sürmez gibi
      Orada fiilen her yerde ödeme yapmak için QR kod taranıyor
    • Birçok mağaza ve restoran QR kodla sipariş vermeyi dayatıyor
      Bu COVID döneminde başladı ama kalıcı oldu ve benim deneyimime göre özellikle ABD dışında daha sık görülüyor
    • O gün yakında gelir
      Poshmark aptalları, 35 dolarlık bir gömlek almak için devlet tarafından verilmiş kimlik istedi
      Hesabım eskiydi ve adresim de kredi kartıyla eşleşiyordu ama yine de istediler
      Tek cevap hesabı silmekti

  • İnsanlar buna alışınca QR kod özelliği kandırılarak Pegasus dağıtım aracına dönüştürülebilir gibi görünüyor

    • QR kodu tara → “captcha uygulaması” yüklü değil diye Play Store’a otomatik yönlendirme → Google Play’in berbat inceleme süreci yüzünden kötü amaçlı yazılım indirme → kâr
      Bunu düşünen ilk kişi ben değilimdir herhalde?
    • Genel olarak insanın içini çektiresi geliyor ve her şeyi azar azar daha kötü hale getiren “öncü liderlerimize” minnet duyası geliyor
      Ama bunun karşılığında bir AI cenneti geliyordu, değil mi?
      Değil mi?

  • Ciddi ciddi soruyorum, akıllı telefonunuz yoksa ne olacak?

    • Bu, sizin bir serf olduğunuz ve önemli olmadığınız anlamına geliyor
      Endişelenmenize gerek yok
      Operatörlerle iş birliği yapıp bütçenize uygun cihazları sübvanse edecekler ve mümkün olan her fırsatta size satılabilir hale getirecekler
    • Toplumun genel tavrı kabaca “hadi oradan” gibi görünüyor
      Bir de yeni cihaz almanız gerekecek
      Pek çok şey yalnızca uygulama üzerinden erişilebilir ya da o yöne gidiyor; buna bazı ülkelere seyahat etmek bile dahil

  • Mobil cihazların artık “insan olduğunu” kanıtlamak için zorunlu hale gelmesi, Google’ın artık masaüstü/açık platformlara güvenmediği anlamına geliyor

    • Bu tam olarak nerede yazıyor?
      Orijinal metinde bunu bulamadım
    • Buna güvenen mi var?
      Bana göre güvenilen tek masaüstü platformu macOS

  • Zamanlaması gerçekten komik
    Geçen hafta boyunca adres çubuğunda arama yaptığım her seferde CAPTCHA ile uğraşıp durdum, sonra iki saatten kısa süre önce hepsini DuckDuckGo ile değiştirdim
    Aferin, Google!

  • Telefon kullanımını giderek azaltmaya çalışıyorum
    İdeal durumda tuşlu telefona geçmek bile isterim
    Ama tüm web siteleri doğrulanmış bir akıllı telefonla QR kod taratmayı istemeye başlarsa, bu strateji yüzünden bu neredeyse imkansız hale gelecek

    • Bu yüzden daha fazla insanın, yaşadıkları telefon merkezli hayatın alternatifleri olduğunu bir an önce fark etmesi gerekiyor
      Telefon sahibi olmak zorunluluk değil ve zorunluluk haline de gelmemeli
      Siyasetçilerin de biraz ayılması lazım

  • Google açıkça yalnızca Google’ın onayladığı modellerin web’de dolaşmasını istiyor