Cloudflare, Google, Microsoft e Mozilla trabalham em tokens para diferenciar tráfego legítimo de acessos abusivos
- Cyber Security Brazil
- há 2 dias
- 4 min de leitura

A Cloudflare anunciou uma colaboração com os principais fabricantes de navegadores comerciais para desenvolver um protocolo voltado a ajudar sites a distinguir tráfego desejado de requisições consideradas abusivas, automatizadas ou inadequadas. A iniciativa envolve Google Chrome, Microsoft Edge e Mozilla Firefox, e tem como base os chamados Private Access Control Tokens, ou PACTs.
Segundo a Cloudflare, os PACTs foram projetados como um mecanismo de preservação de privacidade para que sites consigam emitir tokens digitais capazes de indicar que determinada sessão de navegação pertence a um usuário humano ou a um bot com intenção legítima. A proposta é reduzir a necessidade de verificações repetidas de identidade, como CAPTCHAs, bloqueios agressivos e checagens invasivas, especialmente em um cenário de aumento do tráfego automatizado e de agentes baseados em inteligência artificial.
Na prática, os PACTs funcionariam como uma espécie de resultado compartilhável e anônimo de uma verificação de confiança. Em vez de tentar apenas responder se o visitante é humano ou bot, a lógica se concentra em avaliar se aquele tráfego é desejável ou indesejável para o site. Essa distinção tem se tornado mais complexa à medida que bots legítimos, agentes autônomos e automações autorizadas passam a conviver com crawlers abusivos, scraping agressivo, fraude publicitária, ataques automatizados e tráfego malicioso.
A ideia é permitir que sites com forte conhecimento sobre a “personhood” de um visitante emitam tokens anônimos que possam ser apresentados em outros sites. O termo, no entanto, ainda não está totalmente claro no contexto técnico da proposta. A noção de “personhood” parece incluir não apenas pessoas reais, mas também softwares autorizados a agir em nome de uma pessoa legítima para uma finalidade aprovada.
Esse ponto é importante porque o protocolo pode acabar influenciando quem recebe ou não permissão para acessar determinados serviços sem atrito adicional. Ainda não está definido, por exemplo, quais critérios serão usados para determinar se uma sessão, navegador, comportamento ou sinal de rede é suficientemente confiável para receber um token. Discussões técnicas anteriores envolvendo desenvolvedores do Google e da Mozilla indicam que excluir determinados hardwares, plataformas ou user-agents não é o objetivo declarado.
Dane Knecht, CTO da Cloudflare, afirmou que a forma como as pessoas interagem com a web está mudando e tende a envolver cada vez mais agentes autônomos. Para ele, com a disseminação do tráfego impulsionado por IA, as ferramentas atuais para lidar com esse uso são genéricas e pouco granulares. A colaboração, segundo Knecht, permitiria reduzir o atrito causado por protocolos de segurança para visitantes humanos e agentes, sem abrir mão da privacidade.
A promessa de privacidade, porém, exige cautela. Os tokens PACT, ao que indica a proposta, não carregariam dados pessoais diretamente. Ainda assim, eles não resolvem outros problemas estruturais de rastreamento na web, como fingerprinting de navegadores, correlação de sessões, identificação por comportamento e uso combinado de sinais técnicos. Se implementados de forma inadequada, também podem introduzir novos riscos de privacidade, exclusão ou controle de acesso.
O ponto central é que os PACTs criam uma camada adicional para classificar tráfego da internet como bem-vindo ou indesejado. Esse tipo de separação já ocorre amplamente por meio de firewalls, sistemas antibot, reputação de IP, WAFs e mecanismos de mitigação de abuso. A diferença é que, neste caso, a proposta busca padronizar parte dessa avaliação dentro do ecossistema de navegadores e sites, em um modelo que pode afetar a experiência de acesso em larga escala.
A Mozilla, por meio de Bobby Holley, CTO do Firefox, afirmou que segue comprometida com a abertura e a privacidade dos usuários na web. Segundo ele, uma avalanche de tráfego automatizado tem levado sites a adotarem defesas mais bruscas, como paywalls, verificações de identidade, CAPTCHAs e rastreamento invasivo, apenas para tentar determinar se uma requisição vem de uma pessoa.
Para operadores de sites, o apelo é evidente. Muitas empresas enfrentam custos crescentes para lidar com crawlers agressivos, scraping não autorizado, fraudes, automações abusivas e tráfego que consome infraestrutura sem gerar valor. Os PACTs podem oferecer uma forma menos intrusiva de identificar visitantes considerados genuínos e priorizar recursos para acessos mais relevantes.
Ao mesmo tempo, a proposta levanta preocupações sobre o futuro da web aberta. Caso esses tokens se tornem uma espécie de credencial de acesso confiável, sites, navegadores e intermediários podem ganhar poder adicional para decidir quais visitantes, softwares ou agentes merecem tratamento preferencial. Isso pode criar barreiras para usuários com configurações menos comuns, navegadores alternativos, ferramentas de privacidade, automações legítimas ou projetos menores que não tenham capacidade de negociar reconhecimento com grandes plataformas.
A Cloudflare apresenta a iniciativa como uma alternativa mais privada e menos incômoda aos modelos atuais de detecção de bots e verificação de usuários. Ainda assim, o equilíbrio entre combate a abusos, privacidade, interoperabilidade e abertura da web dependerá dos detalhes técnicos finais, dos critérios de emissão dos tokens e da forma como navegadores e sites implementarão o protocolo.
O avanço dos PACTs também reflete uma mudança maior no tráfego da internet. Com agentes de IA, bots de indexação, automações corporativas e ferramentas de coleta de dados disputando espaço com usuários humanos, os mecanismos tradicionais de distinção entre pessoa e máquina se tornaram insuficientes. A nova disputa não é apenas identificar bots, mas determinar quais automações são aceitáveis, em quais condições e sob controle de quem.


