Cloudflare 联手三大浏览器，PACT 协议能否彻底终结验证码时代？

网络基础设施巨头 Cloudflare 最近放出了一个重磅消息他们正与 Google Chrome、Mozilla Firefox、Microsoft Edge 携手共同推进一项全新的互联网协议。这项名为PACTPrivate Access Control Token私有访问控制令牌的技术核心目标只有一个——让真实用户在不暴露任何隐私的前提下直接获得网站访问权限从此告别那些烦人的验证码。验证码已经过时了说实话验证码CAPTCHA这东西早就让人不胜其烦。选红绿灯、点自行车、辨认扭曲字母……这些操作不仅打断浏览节奏还越来越拦不住真正的威胁。现在的 AI 模型识别图像的能力已经远超人类传统验证码形同虚设。更讽刺的是它拦住的往往是真人用户而不是那些自动化爬虫。Shopify 最近发布的一组数据更让人警醒每多一个验证码步骤电商网站的购物车放弃率就会明显攀升。对商家来说这等于在收银台前人为设置了一道障碍。有人可能会说那用浏览器指纹不就行了但问题是这种暗中采集设备特征的做法已经被隐私倡导者和监管机构盯上了属于典型的以侵犯换安全根本走不通。所以整个行业都在问有没有一种方式既能区分真人和机器人又不用用户做任何额外操作还不泄露隐私PACT 的出现正是为了回答这个问题。PACT 到底怎么运作它的思路其实挺巧妙的。想象一下你平时登录的某个可信网站比如邮箱、社交平台已经对你的身份有了充分了解。PACT 允许这些网站向你颁发一枚匿名令牌你的浏览器会把它安全地存起来。当你访问其他网站时这枚令牌就像一个信用凭证被自动出示对方网站读取后就能确认你是真人直接放行。整个过程中最关键的一点是匿名性被严格保护。颁发令牌的网站不知道你去了哪里接收令牌的网站也不知道你是谁更无法拿这枚令牌去追踪你的浏览历史。广告网络想靠它重构用户画像门儿都没有。换句话说PACT 提供的是一种密码学级别的真人证明但你的个人身份始终被锁在门外。为什么现在必须做这件事放眼当下的互联网自动化机器人流量已经远远超过真人用户的正常浏览。对无数网站运营者来说这意味着服务器持续高负载、CDN 带宽被白白消耗、存储成本不断攀升。传统的防御手段不仅效率低下还误伤用户体验。PACT 的野心不止于替代验证码。Cloudflare 在官方公告中明确提到这项协议旨在建立一个面向全球互联网的、隐私优先的标准化验证模式。它的目标不是消灭所有自动化程序——毕竟很多 AI 代理是代表用户执行合法任务的。PACT 真正想做的是把恶意爬虫和合法自动化工具区分开来让后者也能顺畅通行。巨头们怎么看Mozilla 的首席技术官对这件事态度非常鲜明海量机器人流量正在逼迫网站采取越来越极端的防御措施付费墙、频繁的身份验证弹窗层出不穷长此以往开放互联网的精神会被侵蚀。微软 Edge 的工程团队也持类似观点——打击滥用和保护隐私这两件事不该是零和博弈。有意思的是苹果的 Safari 在这次公开简报中并未被提及但 PACT 的技术底座其实就建立在 Safari 的 Privacy Pass 架构之上。苹果此前已将这套方案推动成为 IETF 的 RFC 9576 标准。PACT 本质上是在这个已有标准上进行扩展让它能够适配更广泛的浏览器生态。落地还有多远坦率地说PACT 目前仍处于早期研发阶段全球大规模部署的时间表尚未明确。要在数十亿并发浏览器会话中跑通这么一套复杂的框架工程挑战不容小觑。不过Cloudflare、Google、Mozilla、微软乃至 Shopify 这些行业巨头的联合背书至少说明方向是对的。从验证码到令牌验证从隐私侵犯到隐私优先这场围绕互联网身份验证的变革或许比我们想象的要来得更快。对普通用户来说最直观的感受可能就是以后上网终于不用再跟我不是机器人的方框较劲了。