LinkedIn Tag
Próximo Webinar: cside x Chargebacks911: Reduzindo chargebacks e fraude em páginas de pagamento

O futuro da segurança web depende do navegador

O runtime do navegador é o intermediário de toda sessão entre seu site <> clientes, bots, agentes de IA e fraudadores. Mesmo assim, ele fica fora do perímetro da segurança web tradicional, abrindo uma lacuna para ataques e gerando penalidades milionárias para organizações.

O risco dessa lacuna de visibilidade mudou radicalmente com a popularização dos agentes de IA. Agentes de consumo podem ser manipulados por injeções de código em scripts de terceiros comprometidos. Agentes maliciosos são baratos de criar, burlam detecção legada de bots e ampliam cada vetor de fraude orientado por bots.

pré-visualização do relatório cside futuro da segurança web 2026
pré-visualização do relatório cside futuro da segurança web 2026

Neste relatório:

Testamos ferramentas legadas de detecção de bots. Elas falharam em 81% das nossas tentativas.

As discussões em fóruns sobre tráfego de bots subiram 275% na nossa análise.

Bots de IA de "ação de usuário" cresceram 15x em 2025. O tráfego de agentes de IA não é mais apenas "crawlers para busca e treinamento de modelos LLM".

Respostas da nossa pesquisa com desenvolvedores web e profissionais de segurança web sobre como estão se preparando para fraude orientada por agentes de IA.

Em um mundo de navegadores stealth hospedados localmente, é necessária uma combinação de sinais da camada do navegador (fingerprinting, análise comportamental e mais) para entender intenção, não apenas identidade.

Baixe o relatório

Preencha o formulário para acessar o relatório completo.

Para quem este relatório é

Times de segurança que usam CSPs, mas querem um método automatizado melhor para monitorar atividade de scripts de terceiros no site.

Times de fraude que defendem contra abuso de bots (scraping, card testing, abuso de promoções, cadastros falsos), que será ampliado por fraude orientada por agentes de IA.

Prévia deste relatório

Investigando um aumento em relatos de tráfego de bots

Em janeiro de 2026, notamos algo incomum em nossas próprias análises: um enorme pico de tráfego da China. Estranho. Nossa configuração no Cloudflare bloqueia totalmente a China por geolocalização. Depois de tornar as regras mais agressivas, o tráfego da China saiu. E então... picos da Noruega, Singapura e Hong Kong.

Fizemos uma pesquisa quantificável para entender se isso era uma tendência mais ampla:

3.1 As discussões sobre tráfego de bots dispararam

⇧ 275%

Aumento nas discussões em fóruns sobre tráfego de bots em sites, apesar dos filtros existentes.

Medidas preventivas básicas falharam:

  • • Bloqueio por país: novos países aparecem (proxies rotativos)
  • • Bloqueio por user-agent: novos user-agents com ações similares aparecem.
  • • Regras WAF básicas: normalmente falharam em conter esse aumento.

Sites pequenos sofreram imediatamente:

  • • Custos de servidor ficaram inviáveis devido ao volume de requisições
  • • Analytics "envenenado" por bots, prejudicando métricas de anúncios e funil

Dicas de defesa que funcionaram:

  • • Configurar regras WAF mais robustas (pode exigir planos superiores)
  • • Bloquear por idioma (como zh-CN)
  • • Bloquear ASNs específicos (como Tencent, Alibaba)

Comparação de janeiro a março de 2025 com janeiro a março de 2026.
Nos fóruns r/webdev, r/cloudflare e r/googleanalytics.
Análise original por cside. Dados brutos coletados com APIs públicas e revisados manualmente.

Como desenvolvedores web estão se preparando para tráfego de agentes de IA

Perguntamos a profissionais de segurança: "Você está se preparando para agentes de IA como um novo tipo de ameaça, ou tratando isso com os controles de tráfego de bots existentes?"

pesquisa da indústria cside preparação para fraude com agentes de IA
Gráfico: pesquisa da indústria cside sobre preparação para fraude com agentes de IA
Gráfico respostas da pesquisa cside sobre defesas contra fraude com agentes de IA
Gráfico respostas da pesquisa cside sobre defesas contra fraude com agentes de IA

Vetores existentes de fraude por bots serão amplificados por agentes de IA

O Merchant Risk Council (cujos membros incluem empresas como Airbnb e Blizzard) informou que em 2025 os tipos mais comuns de fraude de pagamento foram:

  • Uso indevido de primeira parte (83% dos membros afetados)
  • Card testing (71%)
  • Abuso de reembolso (60%)

Agentes de IA vão amplificar significativamente cada um desses vetores de fraude. Neste relatório, mostramos como sinais da camada do navegador podem mitigar esse aumento.

Agende uma demonstração