Tem três problemas com o mesmo disfarce. Um humano a ler a sua página de checkout, um crawler de pesquisa a indexá-la e um stealth browser a enumerar cartões roubados contra ela podem todos apresentar um user-agent de Chrome plausível e um IP residencial limpo. Trate-os como um único grupo e, ou bloqueia receita, ou deixa passar fraude.
A correção é uma taxonomia e uma decisão: classifique cada sessão numa classe conhecida, leia o que está a tentar fazer e mapeie isso exatamente para uma ação: permitir, monitorizar, desafiar, servir conteúdo para agentes ou bloquear. Este artigo é a estrutura de classificação e decisão. Para a mecânica dos sinais subjacentes, o guia para detetar tráfego de agentes IA cobre sinais de identidade, rede, navegador e comportamento; para escolher um fornecedor, consulte como escolher uma solução de deteção de agentes IA. Quando precisar de saber porque é que as defesas mais antigas falham este tráfego, a deteção de bots tradicional na era dos agentes IA explica a lacuna.
Uma taxonomia de cinco classes que mapeia para uma ação
"Bot bom vs bot mau" é demasiado grosseiro, porque o agente de compras de um consumidor é automatizado e bem-vindo, enquanto um crawler de pesquisa é automatizado e bem-vindo por uma razão completamente diferente. Divida o tráfego em cinco classes operacionais, cada uma ligada a uma ação predefinida:
| Classe | Exemplos | Intenção | Ação predefinida |
|---|---|---|---|
| Humano | Visitantes reais, clientes com sessão iniciada | Navegar, comprar, gerir a conta | Permitir, monitorizar o risco |
| Bot bom | Googlebot, GPTBot, ClaudeBot, PerplexityBot, bots de API de parceiros | Indexar conteúdo, integração declarada | Permitir, limitar a taxa, verificar a identidade |
| Automatização neutra | Monitores de disponibilidade, verificadores de links, fetchers de RSS/pré-visualização | Operacional, baixo valor, baixo dano | Monitorizar, limitar a taxa |
| Agente IA de consumo | Agentes de compras e de pesquisa que atuam por uma pessoa real | Completar uma tarefa em nome de uma pessoa | Permitir ou servir conteúdo para agentes |
| Agente malicioso | Scrapers, testadores de cartões, bots de abuso de contas, stealth browsers | Extrair valor ou cometer fraude | Desafiar ou bloquear |
A classe não é fixa para uma sessão. Um agente de consumo a navegar por páginas de produto está na coluna de "permitir" até ao momento em que começa a submeter formulários de pagamento à velocidade de máquina, ponto em que a sua intenção, e a sua classe, mudaram.
A identidade diz-lhe quem; a intenção diz-lhe o que fazer
Os sinais de identidade respondem a "quem é que isto afirma ser": user-agent, nome de crawler declarado, fingerprint. São necessários e quase gratuitos de falsificar. Um GPTBot que se autodeclara pode ser verificado cruzando o IP do pedido com as gamas publicadas do crawler, o que apanha os impostores. Mas as classes perigosas nunca se declaram a si próprias.
Os sinais de intenção respondem a "o que está a fazer esta sessão". Vivem no comportamento e no runtime, e são muito mais caros de falsificar de forma convincente:
- navigator.webdriver definido, ou suprimido de forma demasiado limpa, numa sessão que de resto parece Chrome vulgar.
- Fugas de CDP / Runtime: artefactos do Chrome DevTools Protocol (propriedades
cdc_, nós de acessibilidade removidos) que traem Playwright ou Puppeteer a controlar a página. - Deriva de fingerprint: contextos de WebGL, Canvas e Audio que não contam uma história coerente sobre um único dispositivo, ou que mutam ao longo de uma sessão.
- Comportamento de proxy residencial: um IP "de consumidor" cujo fuso horário, idioma e histórico de ASN não se alinham, rodando entre pedidos.
- Cadência de ações: uma rajada de submissões de cartões em poucos minutos é intenção, não identidade. Nenhuma string de user-agent lhe dirá isso; a sequência de ações sim.
Classifica-se com identidade e intenção em conjunto. Uma sessão que passa em todas as verificações de identidade mas falha no runtime e na cadência é exatamente o caso de agente malicioso que a ferramenta só de rede deixa passar.
Porque é que isto importa mais em 2026
A classe maliciosa ficou barata. A investigação de segurança web de 2026 da cside relata que as instalações de playwright-stealth aumentaram cerca de 10x ao longo de 2025, um indicador limpo da rapidez com que a automatização anti-deteção passou de nicho para ferramenta de ataque generalizada. Relatório de investigação da cside 2026
Ao mesmo tempo, as classes bem-vindas cresceram. Os crawlers de pesquisa com IA agora impulsionam descoberta real, e os agentes de compras de consumo completam compras reais. Por isso, as duas pontas da taxonomia expandiram-se ao mesmo tempo: mais automatização que quer permitir, e mais automatização construída especificamente para parecer sê-lo. É por isso que um detetor binário falha: não tem coluna para "automatizado e bem-vindo". Para a mecânica profunda de como a ponta maliciosa se esconde, consulte stealth browsers e navegadores anti-deteção, explicados. Os mesmos sinais apanham as campanhas de credential stuffing que atingem o login assim que um agente passa de navegação para o ataque a contas.
Mapeie cada classe para uma ação de imposição
Depois de uma sessão classificada, a imposição deve ser determinística. Cinco ações cobrem a taxonomia:
- Permitir: humanos e bots bons verificados nos seus caminhos esperados. Registe e siga em frente.
- Monitorizar: automatização neutra e qualquer sessão cuja classe ainda seja ambígua. Recolha sinais, não adicione atrito ainda.
- Desafiar / limitar a taxa: sessões com tendência para maliciosas. Abrande-as, suba o nível de verificação ou limite a taxa da ação específica (login, checkout) em vez de todo o site.
- Servir conteúdo para agentes: um agente de consumo conhecido num caminho onde prefere guiar em vez de bloquear. Dê-lhe uma vista feita propositadamente ou um passo de "contacte-nos" em vez de deixar fugir preços em bruto para uma sessão com forma de scraper.
- Bloquear: intenção maliciosa confirmada, como enumeração de cartões, credential stuffing e campanhas de abuso de contas.
Duas regras mantêm isto honesto. Limite as ações à ação, não ao visitante: desafie a submissão do checkout, não responda 403 à homepage. E tome a decisão por página: um stealth browser a ler um post do blog é um caso de monitorizar; a mesma sessão no seu cofre de cartões é um caso de bloquear. Para o manual sobre a ponta do bloqueio, consulte como bloquear agentes IA no seu site e, para a variante de fraude de pagamentos, como bloquear agentes IA de teste de cartões.
Onde a classificação tem de acontecer
Esta taxonomia só funciona se conseguir ler a intenção, e a intenção vive no navegador. Os crawlers de IA que nunca executam JavaScript nunca disparam a sua analítica, por isso são invisíveis ao GA4 e ao PostHog. Os agentes de consumo e maliciosos executam navegadores reais e parecem humanos para as mesmas ferramentas. Nenhuma das pontas é separável na camada de analítica, e a maior parte da classe maliciosa passa nas verificações da camada de rede por desenho: IP limpo, user-agent válido, forma de pedido plausível.
A cside observa o runtime do navegador em tempo real. Captura o dispositivo e o IP real, expõe os sinais de automatização e de fingerprint que revelam a intenção, sinaliza agentes IA e stealth browsers dentro da página e expõe esses sinais via API para que possa impulsionar a decisão de permitir / monitorizar / desafiar / servir / bloquear no seu próprio fluxo de trabalho. Essa é a camada onde um humano, um bot bom e um agente malicioso finalmente deixam de se parecer.
