网络基础设施巨头 Cloudflare 最近放出了一个重磅消息:他们正与 Google Chrome、Mozilla Firefox、Microsoft Edge 携手,共同推进一项全新的互联网协议。这项名为PACT(Private Access Control Token,私有访问控制令牌)的技术,核心目标只有一个——让真实用户在不暴露任何隐私的前提下,直接获得网站访问权限,从此告别那些烦人的验证码。
验证码已经"过时"了?
说实话,验证码(CAPTCHA)这东西,早就让人不胜其烦。选红绿灯、点自行车、辨认扭曲字母……这些操作不仅打断浏览节奏,还越来越拦不住真正的威胁。现在的 AI 模型识别图像的能力已经远超人类,传统验证码形同虚设。更讽刺的是,它拦住的往往是真人用户,而不是那些自动化爬虫。
Shopify 最近发布的一组数据更让人警醒:每多一个验证码步骤,电商网站的购物车放弃率就会明显攀升。对商家来说,这等于在收银台前人为设置了一道障碍。有人可能会说,那用浏览器指纹不就行了?但问题是,这种暗中采集设备特征的做法,已经被隐私倡导者和监管机构盯上了,属于典型的"以侵犯换安全",根本走不通。
所以,整个行业都在问:有没有一种方式,既能区分真人和机器人,又不用用户做任何额外操作,还不泄露隐私?
PACT 的出现,正是为了回答这个问题。
PACT 到底怎么运作?
它的思路其实挺巧妙的。想象一下,你平时登录的某个可信网站(比如邮箱、社交平台),已经对你的身份有了充分了解。PACT 允许这些网站向你颁发一枚"匿名令牌",你的浏览器会把它安全地存起来。当你访问其他网站时,这枚令牌就像一个"信用凭证"被自动出示,对方网站读取后就能确认你是真人,直接放行。
整个过程中,最关键的一点是:匿名性被严格保护。颁发令牌的网站不知道你去了哪里,接收令牌的网站也不知道你是谁,更无法拿这枚令牌去追踪你的浏览历史。广告网络想靠它重构用户画像?门儿都没有。
换句话说,PACT 提供的是一种"密码学级别的真人证明",但你的个人身份始终被锁在门外。
为什么现在必须做这件事?
放眼当下的互联网,自动化机器人流量已经远远超过真人用户的正常浏览。对无数网站运营者来说,这意味着服务器持续高负载、CDN 带宽被白白消耗、存储成本不断攀升。传统的防御手段不仅效率低下,还误伤用户体验。
PACT 的野心不止于替代验证码。Cloudflare 在官方公告中明确提到,这项协议旨在建立一个面向全球互联网的、隐私优先的标准化验证模式。它的目标不是消灭所有自动化程序——毕竟,很多 AI 代理是代表用户执行合法任务的。PACT 真正想做的,是把恶意爬虫和合法自动化工具区分开来,让后者也能顺畅通行。
巨头们怎么看?
Mozilla 的首席技术官对这件事态度非常鲜明:海量机器人流量正在逼迫网站采取越来越极端的防御措施,付费墙、频繁的身份验证弹窗层出不穷,长此以往,开放互联网的精神会被侵蚀。微软 Edge 的工程团队也持类似观点——打击滥用和保护隐私,这两件事不该是零和博弈。
有意思的是,苹果的 Safari 在这次公开简报中并未被提及,但 PACT 的技术底座其实就建立在 Safari 的 Privacy Pass 架构之上。苹果此前已将这套方案推动成为 IETF 的 RFC 9576 标准。PACT 本质上是在这个已有标准上进行扩展,让它能够适配更广泛的浏览器生态。
落地还有多远?
坦率地说,PACT 目前仍处于早期研发阶段,全球大规模部署的时间表尚未明确。要在数十亿并发浏览器会话中跑通这么一套复杂的框架,工程挑战不容小觑。不过,Cloudflare、Google、Mozilla、微软乃至 Shopify 这些行业巨头的联合背书,至少说明方向是对的。
从验证码到令牌验证,从隐私侵犯到隐私优先,这场围绕互联网身份验证的变革,或许比我们想象的要来得更快。对普通用户来说,最直观的感受可能就是:以后上网,终于不用再跟"我不是机器人"的方框较劲了。
:实验数据全景——R1 到底强在哪,弱在哪)
