机器人检测指南

该检测机制可识别浏览器或脚本中是否存在自动化代理或机器人。通过分析诸如浏览器指纹识别、JavaScript 执行能力、WebRTC 状态、Canvas 渲染模式、Navigator 对象属性和插件信息等属性，系统通过比较关键的人机交互信号（如鼠标移动、屏幕尺寸和 CAPTCHA 解决行为）来识别当前会话是人工操作还是自动化操作。通过分析 HTTP 标头、浏览器指纹和 TLS 指纹，系统可检测出来自自动化代理或恶意机器人的异常请求。目前，包括 Cloudflare Turnstile、Google reCAPTCHA 和 hCaptcha 在内的主要人工验证系统都集成了类似的检测机制。它们对访问者进行隐式评估，无需用户执行任何额外操作。

检测结果分类说明

1. 已验证的自动化代理（Good Bots）

这些机器人是合法的，并执行有用的功能，例如搜索引擎爬虫（Googlebot、Bingbot、Baiduspider），用于网页抓取、索引编制和确保网站可用性。监控工具（例如 Pingdom、UptimeRobot）可确保网站可用性和性能跟踪。合规的数据抓取服务遵循 robots.txt 协议，并在 User-Agent 中明确标识自己。虽然这些机器人是自动化的，但它们对网站友好，具有规范的行为和受控的请求频率。

2. 恶意机器人

这些机器人试图执行未经授权的活动，例如抓取、数据提取和暴力破解攻击。它们通常使用伪造的 User-Agent 字符串伪装自己，并实施各种规避技术。常见特征包括：使用 Selenium、Puppeteer 或 Playwright 等自动化工具；模拟用户行为，如鼠标点击、键盘输入、表单提交；绕过安全措施，如登录身份验证和 CAPTCHA；参与账户接管、凭据填充、内容抓取、价格抓取、广告欺诈、DDoS 等。即使 User-Agent 被伪造，它们的行为模式、TLS 指纹和 JavaScript 属性仍可能暴露自动化特征。

3. 合法流量 / 非机器人行为

此类别包括表现出典型人类行为的访问者：使用常见浏览器（Chrome、Safari、Firefox、Edge 等），支持 JavaScript、Cookie 和 Storage/HTML 属性，具有随机化的交互模式。这些用户被归类为普通访问者，未检测到异常行为。

机器人检测指南

文章详情