Cloudflare近日宣布加入一项由微软、Google、Mozilla以及电商平台Shopify共同推动的网页安全协议PACT(Private Access Control Tokens)标准化工作。其核心目标很明确:在不追踪个人身份的前提下,让网站在面对自动化访问时更安全、更省事,尤其是为正在快速落地的AI代理人自动化操作提供更顺畅的网页入口。
传统网站要阻挡爬虫和恶意滥用,常见做法是要求用户完成登录或输入验证码(CAPTCHA)。但这套机制一方面会增加用户操作成本,另一方面在AI代理人参与业务流程后,会变得更“卡”:当代理需要自动登录、执行表单或触发关键页面动作时,一旦遇到登录/验证链路,流程就可能被中断。
PACT提议用“匿名化令牌”来解决这个矛题。换句话说,网站在放行访问前,不必去识别用户的具体身份或建立上网追踪;相反,它向要访问的方发放或接收一个匿名token,用于判断访问行为是否可信。通过这种方式,协议试图用更轻量的验证逻辑替代原本笨重的CAPTCHA,同时还能拦住未获授权的自动化爬取、刷点击、抢购票券等网络滥用场景。
Cloudflare定位在反机器人(Anti-Bot)与Web应用防护(WAF)领域,这次合作的落点也很务实:它将PACT验证相关代码内建到自家网络节点中。这样一来,全球使用Cloudflare方案的海量网站,能更容易接收并理解PACT令牌,从而在全球范围提升验证可信度与线上完整性,同时减少原本为防护而承担的额外成本。
不过,Cloudflare目前尚未公布协议在浏览器或其网络层上线的具体时间表。值得注意的是,PACT的探索工作并非“凭空出现”:在2025年12月初,技术专家已向W3C反詐欺浏览器安全社群小组提交了相关问题陈述与初步提案。也就是说,真正走向广泛标准化,仍可能需要数年时间。
总体来看,PACT想要的不是更复杂的验证,而是更聪明的信任:把“真人证明”从高打扰的CAPTCHA,迁移到隐私友好的匿名令牌体系上。未来一旦落地,AI代理人的网页自动化体验或将迎来一波明显改善,同时也让恶意自动化更难得逞。
