Google Cloud Fraud Defense, reCAPTCHA का अगला evolution चरण

 (cloud.google.com)
1 पॉइंट द्वारा GN⁺ 1 시간 전 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Google Cloud ने Google Cloud Fraud Defense लॉन्च किया है और इसे reCAPTCHA के अगले evolution चरण के रूप में agentic web के लिए एक trust platform बताया है
  • Fraud Defense को bot, इंसान, AI agent की वैधता की पुष्टि करने और कंपनियों को digital interaction तथा commerce की सुरक्षा के लिए ज़रूरी intelligence देने के लिए डिज़ाइन किया गया है
  • नए dashboard और agentic policy engine के साथ वेबसाइट की agentic activity को मापा·वर्गीकृत·नियंत्रित किया जा सकता है, और risk score, automation type, agent identity के आधार पर allow या block किया जा सकता है
  • अगर agent में संभावित fraud activity की पहचान होती है, तो QR code आधारित challenge के ज़रिए इंसान हस्तक्षेप करके अपनी मौजूदगी साबित करता है, जिसका लक्ष्य automated fraud को आर्थिक रूप से कठिन बनाना है
  • मौजूदा reCAPTCHA ग्राहक अपने-आप Fraud Defense ग्राहक बन जाएंगे, और migration, अलग कार्रवाई या pricing change के बिना मौजूदा site key और integration वैसे ही बने रहेंगे

agentic web के लिए trust platform

  • Google Cloud ने Google Cloud Next में Google Cloud Fraud Defense लॉन्च किया
  • Fraud Defense, reCAPTCHA का अगला evolution चरण है और agentic web के लिए एक trust platform है
  • autonomous AI agent सार्वजनिक web और industry standard protocol का उपयोग करके reasoning, planning और complex transaction execute करते हुए online interaction को बेहतर बना सकते हैं, लेकिन इससे abuse और fraud के नए vector भी बनते हैं
  • Fraud Defense, Google के अपने ecosystem की सुरक्षा में इस्तेमाल होने वाले global signal का उपयोग करता है ताकि कंपनियां human user और AI agent दोनों को भरोसेमंद experience दे सकें

agentic traffic का मापन और नियंत्रण

  • Fraud Defense ग्राहकों को वेबसाइट की agentic activity मापने और नियंत्रित करने के लिए features का एक सेट देता है

  • agentic activity का मापन

    • नया dashboard agentic activity को मापने और समझने में मदद करता है
    • Web Bot Auth, SPIFEE जैसे industry standard और मौजूदा तरीकों का साथ में उपयोग करके agentic traffic की पहचान, वर्गीकरण और विश्लेषण किया जाता है
    • agent identity और human identity को जोड़कर risk और trust को बेहतर तरीके से समझा जा सकता है

  • agentic policy engine

    • यह end-user interaction के कई चरणों और पूरी journey में अधिक granular control देता है
    • Fraud Defense का agentic policy engine risk score, automation type, agent identity जैसी शर्तों के आधार पर agent और user को allow या block करने देता है

  • AI-resistant challenge

    • जब agent में संभावित fraud activity की पहचान होती है, तो application provider नए QR code आधारित challenge से malicious request को रोक और कम कर सकता है
    • यह challenge इंसान से हस्तक्षेप कर अपनी मौजूदगी साबित करने को कहता है, और इसे automated fraud को आर्थिक रूप से असंभव बनाने के लक्ष्य से डिज़ाइन किया गया है

मौजूदा reCAPTCHA ग्राहकों पर प्रभाव

  • reCAPTCHA, व्यापक Fraud Defense platform के मुख्य bot defense axis के रूप में बना रहेगा
  • मौजूदा reCAPTCHA ग्राहक अपने-आप Fraud Defense ग्राहक बन जाएंगे
  • migration की ज़रूरत नहीं है, अलग से कोई कार्रवाई नहीं चाहिए, और pricing में भी कोई बदलाव नहीं है
  • मौजूदा site key और integration बिल्कुल वैसे ही बने रहेंगे जैसे अभी हैं

agentic web के लिए तीन approaches

  • agentic web में fraud और abuse को रोकना मूल रूप से अधिक सरल customer experience तक पहुंचना चाहिए
  • Fraud Defense, सुरक्षित agentic web को संभव बनाने और business growth को support करने के लिए तीन approaches का उपयोग करता है

  • evolving threat prevention

    • Fraud Defense, Google की कई services की सुरक्षा में उपयोग होने वाली fraud intelligence के ज़रिए कंपनियों की रक्षा करता है
    • जब threat bot automation और invalid traffic से agent hijacking और बड़े पैमाने पर AI-आधारित synthetic identity fraud की ओर बढ़ रहे हैं, तब यह साइट तक पहुंचने से पहले उभरते threat की पहचान करता है
    • यह visibility बड़े पैमाने के fraud intelligence graph पर आधारित है, जो पहले से Fortune 100 कंपनियों में 50% और दुनिया भर में 1.4 करोड़ से अधिक domain की रक्षा कर रहा है
    • यह collective immunity और verified trust का ऐसा स्तर देता है जिसे केवल local data से हासिल करना मुश्किल है

  • customer journey की सुरक्षा

    • attacker अलग-अलग endpoint को नहीं, बल्कि पूरी digital journey को निशाना बनाते हैं
    • agentic web में, जहां agent को end-to-end journey पूरी करने की ज़िम्मेदारी दी जाती है, यह विशेषता और भी मजबूत हो जाती है
    • Fraud Defense registration, login, payment और checkout तक risk का एकीकृत view देता है
    • पूरी lifecycle में telemetry data का correlation करके यह उन जटिल multi-step fraud campaign की पहचान करता है जिन्हें अलग-अलग point solution पकड़ नहीं पाते
    • यह integrated trust model वैध customer activity और sophisticated abuse में फर्क कर account takeover (ATO) को औसतन 51% कम करने वाला बताया गया है

  • business growth में तेजी

    • agentic economy में friction conversion को कम कर देता है
    • Fraud Defense को इस तरह डिज़ाइन किया गया है कि वह अधिकांश user को दिखे ही नहीं, और बाधा डालने वाली puzzle की जगह शांत background verification ले ले
    • intelligent trust model का उपयोग करके यह malicious bot, इंसान और agent को सटीकता से block करते हुए वैध user को स्वीकार करने देता है
    • 2025 Shopify Retail Report के अनुसार AI shopping assistant औसत order value को 25% बढ़ा सकते हैं

अतिरिक्त जांच के रास्ते

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 1 시간 전
Hacker News टिप्पणियाँ

  • मोबाइल डिवाइस की आवश्यकताएँ यहाँ दी गई हैं: https://support.google.com/recaptcha/answer/16609652
    लगता है कि आगे वेब ब्राउज़ करने के लिए Google Play Services इंस्टॉल किया हुआ नया Android डिवाइस या नया iPhone/iPad चाहिए होगा
    अभी तक डिवाइस इंटीग्रिटी वेरिफिकेशन का ज़िक्र नहीं है, लेकिन दिशा तो साफ़ दिख रही है

    • अगर Google Play Services आवश्यकताओं में है, तो इसका मतलब यही समझना चाहिए कि certified Android डिवाइस चाहिए होगा जो Play Integrity attestation कर सके
      क्योंकि आधिकारिक तौर पर Google Play Services पाने का वही एक समर्थित रास्ता है
      ऐसे consumer support docs में आम तौर पर यह नहीं लिखा जाता कि कौन-सा API इस्तेमाल हो रहा है, और भले ही MEETS_DEVICE_INTEGRITY ज़रूरी हो, यहाँ उसका साफ़ उल्लेख न भी हो सकता है
      उदाहरण के लिए Google Pay के consumer docs में भी बस इतना लिखा है कि “certified” Android डिवाइस और screen lock चाहिए: https://support.google.com/wallet/answer/12200245
      FAQ के आखिर तक जाएँ तो यह भी मिलता है कि rooted फ़ोन पर tap payments काम नहीं करते, लेकिन वह requirement तो certification requirement में पहले से शामिल ही है [1]
      Google के नज़रिए से भी, Google के registered trademark की वजह से कानूनी तौर पर Android == Google Android ही है
      अगर यह फीचर डिवाइस attestation इस्तेमाल नहीं करता, तो इसे आसानी से spoof किया जा सकेगा और फिर इसका मतलब ही कम रह जाएगा; लगता है शुरुआत में नहीं करेंगे, लेकिन आने वाले कुछ सालों में A/B testing के ज़रिए डिवाइस attestation जोड़ना शुरू कर देंगे
      [1] “What to do if you see device is not certified” -> “Reset device to fix issue” खोलें https://support.google.com/android/answer/7165974
    • मेरी GrapheneOS यात्रा अब और दिलचस्प होने वाली है
      वेब ब्राउज़िंग के लिए यूज़र को Google की आधिकारिक पहचान सत्यापन प्रक्रिया में धकेलना वाकई बहुत कठोर है
      क्या iPhone के लिए reCAPTCHA ऐप भी Google अकाउंट लॉगिन को मजबूर करेगा?
      वेब को अपनी anonymity खोने के लिए ID verification तक की ज़रूरत भी नहीं पड़ी
    • लगता है इस तरीके में दोनों डिवाइस पर Bluetooth चालू होना भी ज़रूरी होगा
      कम-से-कम कंप्यूटर पर दिख रहे QR code को स्कैन करके फ़ोन की passkey से authenticate करने वाला फीचर तो ऐसा ही करता है, और यह भी वैसा ही लग रहा है
      Bluetooth का इस्तेमाल यह जाँचने के लिए होता है कि दोनों डिवाइस सच में एक ही भौतिक जगह पर हैं या नहीं
    • अगर आपको वेबसाइट ट्रैफ़िक चाहिए, तो अब शायद reCAPTCHA का इस्तेमाल बंद करना पड़े
      हालाँकि सब लोग शायद चुपचाप मान जाएँगे, लेकिन मुझे कुछ मिनट सपने देखने दो
    • मैं कई सालों से कहता आ रहा हूँ कि स्मार्टफ़ोन से वेब ब्राउज़ करना बेतुका है
      आखिर जब हालात काफी खराब हो जाएँगे, तब लोग मेरी बात मानेंगे

  • यह यक़ीन करना मुश्किल है कि QR code आधारित challenge को fraud defense का “agentic” तरीका कहकर प्रचारित किया जा रहा है
    इंसानों से ऐसा डेटा इनपुट करवाना जिसे वे पढ़ नहीं सकते, ख़तरनाक है, और अगर QR code किसी zero-day URL से संक्रमित हो गया तो खेल ख़त्म
    मुझे पता है आजकल QR code हर जगह हैं, लेकिन किसी URL तक पहुँचने के लिए आँख बंद करके QR code स्कैन करना लगभग इंटरनेट से डाउनलोड की गई binary चलाने जैसा है
    curl $URL | bash इंस्टॉल तरीका भी मूल रूप से बिल्कुल ऐसा ही है, लेकिन पता नहीं कैसे यह हर जगह फैल गया

  • जो कंपनी खरीदने के लिए QR code स्कैन करने को कहेगी, उससे मैं कुछ नहीं खरीदूँगा

    • चीन में यह ज़्यादा देर नहीं टिकेगा
      वहाँ तो लगभग हर जगह QR code स्कैन करके पेमेंट की जाती है
    • बहुत-से store restaurants में QR code ordering ज़बरदस्ती करवाई जाती है
      यह COVID के दौरान शुरू हुआ था, लेकिन अब भी बना हुआ है, और मेरे अनुभव में खासकर अमेरिका के बाहर ज़्यादा दिखता है
    • यह जल्दी ही आने वाला है
      Poshmark के बेवकूफ़ों ने 35 डॉलर की शर्ट खरीदने के लिए government-issued ID माँगी थी
      अकाउंट पुराना था, पता भी credit card से मैच कर रहा था, फिर भी ऐसा किया
      उसका जवाब सिर्फ अकाउंट डिलीट करना था

  • लगता है QR code फीचर, जब लोग इसके आदी हो जाएँगे, तब धोखे से Pegasus deployment vector में बदला जा सकता है

    • QR code स्कैन → “captcha app” इंस्टॉल नहीं है कहकर Play Store पर auto-redirect → Google Play की घटिया review प्रक्रिया के कारण malware डाउनलोड → मुनाफ़ा
      यह बात सबसे पहले मेरे दिमाग में आई हो, ऐसा तो नहीं लगता?
    • कुल मिलाकर यह सब देखकर सिर्फ आह निकलती है, और हमारे उन “दूरदर्शी नेताओं” के लिए फिर से शुक्रगुज़ार होना पड़ता है जिन्होंने हर चीज़ को थोड़ा-थोड़ा और बुरा बना दिया
      लेकिन बदले में AI यूटोपिया तो आ ही रहा है, है न?
      है न?

  • मैं गंभीरता से पूछना चाहता हूँ, अगर स्मार्टफ़ोन ही न हो तो क्या होगा?

    • इसका मतलब बस इतना है कि तुम एक किसान-मज़दूर जैसे हो, इसलिए मायने नहीं रखते
      चिंता मत करो
      वे telecom कंपनियों के साथ मिलकर तुम्हारे बजट के हिसाब से subsidized डिवाइस उपलब्ध कराएँगे, और जितने मौके बन सकें, तुमसे खरीदवाएँगे
    • पूरे समाज का रवैया लगभग “जाओ, ग़ायब हो जाओ” जैसा लगता है
      और तुम्हें नया डिवाइस भी खरीदना पड़ेगा
      बहुत-सी चीज़ें app-only हैं या उसी दिशा में जा रही हैं, इसमें कुछ देशों की यात्रा करना भी शामिल है

  • अब मोबाइल डिवाइस का “इंसान होने” का सबूत देने के लिए ज़रूरी हो जाना, यह दिखाता है कि Google अब desktop/open platforms पर भरोसा नहीं करता

    • यह कहाँ साफ़ लिखा है?
      मुझे मूल लेख में नहीं मिला
    • उन पर भरोसा करता ही कौन है?
      मेरी नज़र में भरोसेमंद desktop platform तो बस macOS है

  • timing वाकई मज़ेदार है
    पिछले एक हफ्ते से address bar में search करते ही हर बार CAPTCHA झेलना पड़ रहा था, और दो घंटे पहले ही मैंने सब कुछ DuckDuckGo पर बदल दिया
    शाबाश, Google!

  • मैं फ़ोन का इस्तेमाल लगातार कम करने की कोशिश कर रहा हूँ
    आदर्श रूप से तो मैं feature phone पर लौटना चाहता हूँ
    लेकिन अगर सभी वेबसाइटें authenticated smartphone से QR code स्कैन करवाने लगें, तो ऐसी रणनीति की वजह से यह लगभग असंभव हो जाएगा

    • इसलिए ज़रूरी है कि ज़्यादा लोग जल्दी समझें कि जिस फ़ोन-केंद्रित जीवन में वे जी रहे हैं, उसके विकल्प भी हैं
      फ़ोन रखना कोई अनिवार्यता नहीं है, और न ही इसे अनिवार्य बनाया जाना चाहिए
      राजनेताओं को भी थोड़ा जागना चाहिए

  • Google साफ़ तौर पर चाहता है कि वेब पर सिर्फ Google-approved models ही घूम सकें