Seksyen 1: Mengapa bot menyasarkan widget cuba-pakai
Widget cuba-pakai maya adalah sasaran bot yang menarik kerana ia menyediakan penjanaan imej AI percuma. Titik akhir (endpoint) cuba-pakai menerima foto dan imej produk serta mengembalikan hasil komposit AI — dari perspektif bot, ini adalah API penjanaan imej AI yang boleh diakses secara terbuka dan percuma. Skrip automatik boleh menyerang titik akhir ribuan kali sejam untuk menjana imej produk, gambar profil, atau data latihan sintetik tanpa kos kepada penyerang tetapi dengan kos penuh had bulanan kepada anda sebagai peniaga.
Insentif ekonomi ini adalah signifikan: API penjanaan imej AI yang berkualiti biasanya menelan kos $0.05–0.20 bagi setiap imej. Titik akhir widget cuba-pakai tanpa perlindungan bot secara berkesan menawarkan perkhidmatan ini secara percuma kepada sesiapa yang mendedahkan format permintaan tersebut. Pada skala besar, satu kempen bot boleh menghabiskan seluruh kuota cuba-pakai bulanan peniaga dalam masa beberapa jam, menyebabkan pelanggan sebenar mengalami gangguan perkhidmatan bagi baki tempoh pengebilan.
Seksyen 2: Timbunan pertahanan lima lapisan Photta
Photta melaksanakan lima pertahanan bebas, masing-masing menangkap vektor serangan yang berbeza. Lapisan 1 — hCaptcha: setiap permintaan cuba-pakai mesti menyertakan token hCaptcha sah yang dijana dalam pelayar. Bot tanpa paparan (headless) dan klien HTTP automatik tidak dapat menyelesaikan hCaptcha tanpa interaksi manusia, sekaligus menyekat serangan skrip mudah. Lapisan 2 — cap jari BotD: SDK menjalankan BotScore oleh FingerprintJS untuk mengesan pelayar tanpa paparan, rangka kerja automasi (Puppeteer, Playwright), dan persekitaran pelayar yang mencurigakan sebelum pelanggan menghantar foto.
Lapisan 3 — Penyenaraian putih domain: kunci pk_live_ anda hanya menerima permintaan daripada domain yang anda daftarkan dalam Tetapan → Domain Dibenarkan. Permintaan daripada mana-mana punca lain akan mengembalikan HTTP 403 serta-merta, sebelum sebarang pemprosesan AI berlaku. Lapisan 4 — Pengehadan kadar IP: lebih daripada 10 permintaan cuba-pakai seminit daripada satu alamat IP akan mencetuskan pendikitan automatik; lebih daripada 30 seminit akan mencetuskan sekatan sementara. Lapisan 5 — Had bulanan: had cuba-pakai bulanan pelan anda (500/2,000/10,000 bergantung pada tahap) dihadkan secara keras pada bahagian pelayan. Mencapai had tersebut akan menghentikan semua aktiviti cuba-pakai untuk baki kitaran pengebilan, mengelakkan senario kos yang tidak terkawal.
Seksyen 3: Pantau percubaan bot dalam papan pemuka anda
Log masuk ke business.photta.app dan navigasi ke Keselamatan. Panel Keselamatan menunjukkan tiga carta yang dikemas kini dalam masa nyata: Percubaan Disekat (jumlah setiap jam), Pecahan Sebab Sekatan (kegagalan hCaptcha vs. pengesanan BotD vs. ketidakpadanan domain vs. pencetus had kadar), dan IP Teratas Disekat (alamat IP yang menjana permintaan disekat paling banyak dalam 24 jam terakhir). Kedai yang sihat biasanya menunjukkan hampir sifar percubaan disekat semasa waktu operasi normal.
Panel Keselamatan juga menyertakan bahagian Amaran Anomali. Lapisan analitik Photta memerhati lonjakan mendadak dalam volum cuba-pakai atau percubaan disekat yang menyimpang lebih daripada tiga sisihan piawai daripada garis dasar 7 hari anda. Apabila anomali dikesan, anda akan menerima pemberitahuan e-mel dalam masa 15 minit dan amaran tersebut akan muncul dalam papan pemuka. Anda boleh mengkonfigurasi ambang pemberitahuan di bawah Tetapan → Pemberitahuan → Amaran Keselamatan.
Seksyen 4: Bertindak balas terhadap aktiviti mencurigakan
Apabila anda melihat corak luar biasa dalam panel Keselamatan — lonjakan dalam permintaan yang disekat, kelompok percubaan daripada satu julat IP, atau penurunan mendadak dalam kuota bulanan anda — ambil tindakan ini mengikut urutan. Pertama, semak senarai IP Teratas Disekat. Jika satu atau sebilangan kecil IP menyumbang kepada kebanyakan percubaan yang disekat, klik 'Sekat IP' di sebelah setiap satu untuk mengharamkan mereka secara kekal pada lapisan Photta. Sekatan berkuat kuasa serta-merta dan kekal sehingga anda mengalih keluarnya secara manual.
Kedua, jika serangan menggunakan pelbagai IP (botnet teragih), hubungi sokongan Photta melalui sembang papan pemuka dengan ID peniaga anda dan julat masa serangan. Pasukan keselamatan Photta boleh melaksanakan sekatan tahap CIDR pada subrangkaian yang menyerang dalam masa beberapa jam. Ketiga, jika kuota bulanan anda telah banyak habis akibat aktiviti bot, buka tiket sokongan — Photta menawarkan pemulihan kuota sekali sahaja untuk serangan bot yang didokumentasikan. Lampirkan tangkapan skrin amaran anomali panel Keselamatan anda sebagai bukti.
Seksyen 5: Masa untuk menambah CAPTCHA tersuai di atas
hCaptcha terbina dalam Photta berjalan secara halimunan — kebanyakan pelanggan sah tidak akan melihat cabaran CAPTCHA. Dalam kes yang sangat jarang berlaku (kedai bernilai tinggi, titik akhir widget yang diindeks secara terbuka), pertahanan terbina dalam mungkin tidak mencukupi jika penyerang canggih menggunakan 'ladang' penyelesaian CAPTCHA manusia. Dalam senario ini, tambahkan lapisan CAPTCHA kedua pada tahap halaman produk anda sendiri sebelum memanggil photta.open(). Sahkan CAPTCHA tersuai anda pada pelayan anda, kemudian hantar token pengesahan yang ditandatangani ke SDK Photta sebagai photta.open({ verificationToken: 'token_anda' }) untuk memastikan hanya sesi yang disahkan boleh memulakan proses cuba-pakai.
CAPTCHA tersuai adalah pilihan terakhir untuk kedai yang telah mengalami serangan canggih berulang kali. Bagi sebahagian besar peniaga, timbunan lima lapisan Photta menyediakan perlindungan yang mencukupi tanpa geseran yang dapat dilihat oleh pelanggan. Jika anda sedang menilai sama ada perlu menambah lapisan tersuai, semak Pecahan Sebab Sekatan panel Keselamatan anda terlebih dahulu — jika kegagalan hCaptcha menyumbang kurang daripada 1% daripada jumlah percubaan disekat anda, timbunan tersebut berfungsi dengan baik dan lapisan tambahan hanya akan menambah geseran tanpa keuntungan keselamatan yang bermakna.