定义
reCAPTCHA v3 是 Google CAPTCHA 服务的第三个主要迭代版本,于 2018 年 10 月发布。与前两代要求用户勾选复选框或解开图像谜题不同,v3 完全被动。它在浏览器后台静默运行,观察页面交互,并产生一个数值化的风险评分供站点所有者据此处置该会话。1.0 表示几乎可以肯定是真人;0.0 表示几乎可以肯定是自动化流量。
该系统建构在 reCAPTCHA v2 的基础设施之上,但去除了显式用户挑战的摩擦。Google 的目标是让绝大多数合法用户彻底告别”我不是机器人”互动,降低购物车遗弃率与表单流失率,同时保持乃至提升机器人检测覆盖率。
reCAPTCHA v3 的工作原理
reCAPTCHA v3 通过加载自 https://www.google.com/recaptcha/api.js 的 JavaScript 库工作。一旦载入,它便开始为当前会话被动收集行为指纹。所采集的信号包括鼠标移动轨迹、滚动行为、按键时序、DOM 交互序列、浏览器中 Google 账号 Cookie 的年龄与活跃度(若存在),以及来源连接的网络特征。
当站点所有者希望评估某一具体动作——例如表单提交或投票按钮点击——会调用 grecaptcha.execute(siteKey, {action: 'vote'})。这会触发 Google 的风险分析基础设施为该会话计算评分,并将带签名的 JSON Web Token(JWT)回传至浏览器。该令牌随表单数据一同提交。
服务端应用将该令牌连同站点密钥发送至 Google 校验端点 https://www.google.com/recaptcha/api/siteverify。Google 响应包括数值评分、时间戳、动作名称与主机名确认。开发者设定阈值——常见为 0.5——低于此值的提交将被拦截、标记复核,或转入二次挑战(如 reCAPTCHA v2)。
通过 Google Cloud 提供的付费档 reCAPTCHA Enterprise 在 v3 之上扩展了更多信号、按贡献因子拆解的评分解释、Account Defender 功能以及 SLA 保障。
您会在哪里遇到它
reCAPTCHA v3 部署在各类对”无摩擦核验”有要求的网络资产之上。竞赛与抽奖平台在投票提交端点与账号注册表单上集成它。电商平台在结账时使用它防撞库。新闻刊物在评论提交端点使用它。金融服务公司将其用于密码重置与转账流程。票务平台使用它在高需求开售时减缓黄牛机器人。
由于 v3 隐形,普通用户在页面上感受不到它的存在——只有查看页面源代码或监控网络流量的开发者会注意到 recaptcha API 调用。
实际示例
某区域摄影比赛在自建微站点上集成 reCAPTCHA v3 守护投票端点。每次投票提交都触发一次 grecaptcha.execute 调用。评分低于 0.3 的提交被静默丢弃;介于 0.3 与 0.5 之间的提交记录下来在比赛结束时统一审核;评分高于 0.5 的提交立即记票。比赛运营方审视暂存提交,把共享设备指纹或集中在某一 IP 段的票数取消资格。
某全国性非营利机构举办拨款评选,公众投票影响一部分资金分配。该平台将 reCAPTCHA v3 与邮箱确认结合使用。每张票都连同 CAPTCHA 评分一起入库,让管理员能在比赛结束后基于实际评分分布回溯调整阈值——等同于事后调节”机器人拒绝”的灵敏度。
某高校学生奖项项目部署 reCAPTCHA Enterprise,借助评分解释展开审计。审计日志显示某项提名的低分票数集中来自同一子网,平台在公布获奖者前对该提名的票数进行了相应调整。
相关概念
reCAPTCHA v3 与同一检测生态中较早的 CAPTCHA 世代并存。基础词条 reCAPTCHA 详细介绍了 v1 与 v2 机制。hCaptcha 与 Cloudflare Turnstile 是竞争系统,在隐私、挑战类型与厂商依赖之间提供不同取舍。行为生物识别 描述了 reCAPTCHA v3 评分背后的更广义被动交互测量类别。
局限与注意事项
reCAPTCHA v3 把风险阈值决定权完全交给站点运营方,导致各部署之间标准不一。把阈值设为 0.3 的站点接纳的机器人流量明显多于设为 0.7 的站点。Google 不公开评分背后的具体信号与权重,使第三方独立审计无从下手。此外,由于系统部分依赖 Google 账号遥测,未登录 Google 账号或使用屏蔽 Google Cookie 浏览器的用户可能拿到比其行为应得评分更低的分数,从而对合法投票者造成误报。
