Cloudflare collabora con Chrome, Firefox ed Edge su un protocollo anti-bot incentrato sulla privacy.

      TL;DRCloudflare, Mozilla, Google, Microsoft e Shopify stanno costruendo PACT, un protocollo incentrato sulla privacy per verificare la legittimità del traffico web. Cloudflare ha annunciato un'iniziativa congiunta con Mozilla Firefox, Google Chrome e Microsoft Edge per sviluppare un nuovo protocollo internet che verifica se il traffico web è legittimo senza tracciare gli utenti. Il protocollo, chiamato Token di Controllo di Accesso Privato, è progettato per sostituire i CAPTCHA e i login forzati con token anonimi che dimostrano che un visitatore è umano o un bot autorizzato. Shopify ha co-sviluppato la tecnologia e il gruppo prevede di sottoporla a standardizzazione formale. L'annuncio arriva mentre il traffico dei bot ha ufficialmente superato l'attività umana online. I dati di Cloudflare Radar mostrano che i sistemi automatizzati ora rappresentano circa il 58% delle richieste HTTP ai contenuti web in tutto il mondo, contro il 42% delle persone. Il CEO di Cloudflare, Matthew Prince, ha condiviso il traguardo il 3 giugno, notando che i programmi AI agentici che navigano per conto di assistenti come ChatGPT e Gemini hanno accelerato il crossover di circa 18 mesi rispetto alle sue previsioni precedenti. PACT funziona consentendo ai siti web con una forte conoscenza dell'identità di un visitatore di emettere token anonimi. Il browser di un utente memorizza il token e può presentarlo ad altri siti web come prova che una persona reale è dietro la sessione, riducendo la necessità di controlli di identità ripetuti. Il protocollo è progettato in modo che il token non possa essere utilizzato per tracciare gli utenti o ricostruire la loro cronologia di navigazione. “Il modo in cui interagiamo con Internet sta affrontando un cambiamento fondamentale,” ha dichiarato il CTO di Cloudflare, Dane Knecht, nell'annuncio. “Poiché il traffico alimentato da AI diventa diffuso, gli strumenti esistenti per supportarne l'uso sono troppo generici e grossolani.” Ha affermato che la collaborazione eliminerebbe l'attrito causato dai protocolli di sicurezza per ogni visitatore, sia umano che agente, senza sacrificare la privacy. L'iniziativa non mira a bloccare tutto il traffico automatizzato. Cloudflare ha stesso abbracciato l'AI agentica, tagliando 1.100 posti di lavoro all'inizio di quest'anno dopo aver dichiarato che gli agenti AI ora svolgono lavori precedentemente eseguiti da umani. Per molti agenti AI c'è ancora un umano da qualche parte nel processo con una ragione legittima per accedere a un sito web. PACT è destinato a distinguere quegli agenti autorizzati da scraper malevoli e bot di abuso, non a chiudere completamente l'automazione. I produttori di browser hanno inquadrato l'iniziativa come essenziale per il web aperto. Bobby Holley, CTO di Firefox presso Mozilla, ha affermato che un'“valanga di traffico automatizzato” stava spingendo i siti verso difese brutali come paywall, controlli di identità e tracciamento invasivo. Erik Anderson, direttore dell'ingegneria per la piattaforma web di Microsoft Edge, ha definito strumenti efficaci per la protezione della privacy critici per combattere l'abuso senza attrito inutile per gli utenti. Il coinvolgimento di Shopify riflette gli interessi commerciali. Ilya Grigorik, un ingegnere di spicco dell'azienda, ha affermato che ogni ulteriore sfida o falso positivo nell'ecommerce può trasformare un acquisto in un carrello abbandonato. Il fingerprinting del browser nascosto e la scansione delle estensioni sono emersi come gli strumenti predefiniti per le piattaforme che cercano di identificare gli utenti, una pratica contro cui gli avvocati della privacy e i regolatori si sono opposti. PACT offrirebbe un'alternativa standardizzata che non richiede la raccolta delle caratteristiche del dispositivo o il tracciamento del comportamento di navigazione. Il protocollo si basa su lavori precedenti nello stesso campo. Apple utilizza già un sistema correlato chiamato Privacy Pass, che funziona con l'enclave sicura di un dispositivo per attestare l'identità di un utente, e Cloudflare utilizza Privacy Pass come segnale nei suoi prodotti di gestione dei bot. L'IETF ha pubblicato l'Architettura Privacy Pass come RFC 9576, e PACT estende quella base con un supporto più ampio per i browser e un focus sul traffico AI agentico che ha rimodellato la composizione del web nell'ultimo anno. Non è stata annunciata alcuna tempistica di implementazione. I partner si sono impegnati a sviluppare il protocollo e a sottoporlo a standardizzazione, ma trasformare una specifica in qualcosa che funzioni attraverso miliardi di sessioni di browser richiederà tempo. Gli utenti stanno già migrando da piattaforme che impongono funzionalità AI senza consenso, e la questione di come gestire il traffico automatizzato senza alienare i visitatori umani sta diventando sempre più urgente di trimestre in trimestre. Se PACT arriverà abbastanza velocemente da avere importanza dipende da quanto rapidamente si muove il processo di standardizzazione e da quanto siano disposti i siti web ad adottare un sistema che, per design, fornisce loro meno dati sui loro visitatori piuttosto che di più.