Phần 1: Tại sao bot nhắm mục tiêu vào widget thử đồ
Các widget thử đồ ảo là mục tiêu hấp dẫn đối với bot vì chúng cung cấp khả năng tạo hình ảnh AI miễn phí. Một endpoint thử đồ chấp nhận một ảnh chân dung và một ảnh sản phẩm rồi trả về kết quả tổng hợp bởi AI — từ góc nhìn của bot, đây là một API tạo hình ảnh AI miễn phí, có thể truy cập công khai. Các tập lệnh tự động có thể truy cập endpoint hàng nghìn lần mỗi giờ để tạo ảnh sản phẩm, ảnh chân dung hoặc dữ liệu huấn luyện tổng hợp với chi phí bằng không cho kẻ tấn công và tốn toàn bộ hạn mức hàng tháng của bạn với tư cách là người bán.
Động lực kinh tế là rất lớn: một API tạo hình ảnh AI chất lượng thường có giá từ 0,05–0,20 USD mỗi ảnh. Một endpoint widget thử đồ không có bảo vệ bot thực tế là đang cung cấp dịch vụ này miễn phí cho bất kỳ ai đảo ngược được định dạng yêu cầu. Ở quy mô lớn, một chiến dịch bot duy nhất có thể làm cạn kiệt toàn bộ hạn ngạch thử đồ hàng tháng của người bán chỉ trong vài giờ, khiến những người mua hàng thực sự phải chịu dịch vụ kém chất lượng trong phần còn lại của chu kỳ thanh toán.
Phần 2: Hệ thống phòng thủ năm lớp của Photta
Photta triển khai năm lớp phòng thủ độc lập, mỗi lớp ngăn chặn một vectơ tấn công khác nhau. Lớp 1 — hCaptcha: mọi yêu cầu thử đồ phải bao gồm một mã thông báo hCaptcha hợp lệ được tạo trong trình duyệt. Các bot không đầu (headless) và các trình duyệt HTTP tự động không thể giải hCaptcha nếu không có sự tương tác của con người, giúp chặn các cuộc tấn công bằng tập lệnh đơn giản. Lớp 2 — Dấu vân tay BotD: SDK chạy BotScore bởi FingerprintJS để phát hiện các trình duyệt không đầu, các khung tự động hóa (Puppeteer, Playwright) và các môi trường trình duyệt khả nghi trước khi người mua hàng gửi ảnh.
Lớp 3 — Danh sách trắng tên miền: khóa pk_live_ của bạn chỉ chấp nhận các yêu cầu từ các tên miền bạn đăng ký trong Cài đặt → Tên miền được phép. Các yêu cầu từ bất kỳ nguồn gốc nào khác sẽ trả về lỗi HTTP 403 ngay lập tức, trước khi bất kỳ quá trình xử lý AI nào diễn ra. Lớp 4 — Giới hạn tốc độ IP: hơn 10 yêu cầu thử đồ mỗi phút từ một địa chỉ IP duy nhất sẽ kích hoạt điều tiết tự động; hơn 30 yêu cầu mỗi phút sẽ kích hoạt chặn tạm thời. Lớp 5 — Hạn mức hàng tháng: giới hạn thử đồ hàng tháng trong gói của bạn (500/2.000/10.000 tùy theo cấp độ) được giới hạn cứng ở phía máy chủ. Việc sử dụng hết hạn mức sẽ dừng tất cả các lượt thử đồ trong phần còn lại của chu kỳ thanh toán, ngăn chặn các kịch bản chi phí tăng vọt ngoài tầm kiểm soát.
Phần 3: Theo dõi các nỗ lực của bot trong bảng điều khiển
Đăng nhập vào business.photta.app và đi đến phần Bảo mật. Bảng Bảo mật hiển thị ba biểu đồ được cập nhật theo thời gian thực: Các lần thử bị chặn (tổng số mỗi giờ), Phân tích lý do chặn (lỗi hCaptcha so với phát hiện BotD so với sai lệch tên miền so với kích hoạt giới hạn tốc độ) và Các IP bị chặn hàng đầu (các địa chỉ IP tạo ra nhiều yêu cầu bị chặn nhất trong 24 giờ qua). Một cửa hàng hoạt động ổn định thường hiển thị số lần thử bị chặn gần như bằng không trong giờ hoạt động bình thường.
Bảng Bảo mật cũng bao gồm phần Cảnh báo bất thường. Lớp phân tích của Photta theo dõi các đợt tăng đột biến trong khối lượng thử đồ hoặc các lần thử bị chặn lệch quá ba độ lệch chuẩn so với mức cơ sở 7 ngày của bạn. Khi phát hiện thấy sự bất thường, bạn sẽ nhận được thông báo qua email trong vòng 15 phút và cảnh báo sẽ xuất hiện trong bảng điều khiển. Bạn có thể định cấu hình ngưỡng thông báo trong Cài đặt → Thông báo → Cảnh báo bảo mật.
Phần 4: Phản hồi các hoạt động khả nghi
Khi bạn thấy các mẫu bất thường trong bảng Bảo mật — một đợt tăng đột biến các yêu cầu bị chặn, một cụm nỗ lực từ một dải IP hoặc hạn ngạch hàng tháng giảm đột ngột — hãy thực hiện các hành động này theo thứ tự. Đầu tiên, hãy kiểm tra danh sách Các IP bị chặn hàng đầu. Nếu một hoặc một số ít IP chiếm hầu hết các lần thử bị chặn, hãy nhấp vào 'Chặn IP' bên cạnh mỗi IP để cấm chúng vĩnh viễn ở lớp Photta. Lệnh chặn có hiệu lực ngay lập tức và kéo dài cho đến khi bạn gỡ bỏ thủ công.
Thứ hai, nếu cuộc tấn công sử dụng nhiều IP (mạng botnet phân tán), hãy liên hệ với bộ phận hỗ trợ của Photta qua chat trên bảng điều khiển cùng với ID người bán của bạn và khoảng thời gian tấn công. Nhóm bảo mật của Photta có thể áp dụng lệnh chặn cấp CIDR trên mạng con đang tấn công trong vòng vài giờ. Thứ ba, nếu hạn ngạch hàng tháng của bạn đã bị tiêu hao đáng kể do hoạt động của bot, hãy mở một yêu cầu hỗ trợ — Photta cung cấp dịch vụ khôi phục hạn ngạch một lần cho các cuộc tấn công bot đã được ghi nhận. Hãy đính kèm ảnh chụp màn hình cảnh báo bất thường trong bảng Bảo mật của bạn để làm bằng chứng.
Phần 5: Khi nào cần thêm CAPTCHA tùy chỉnh lên trên
Photta tích hợp hCaptcha chạy ẩn — hầu hết những người mua hàng thực sự không bao giờ thấy thử thách CAPTCHA. Trong những trường hợp rất hiếm (các cửa hàng giá trị cao, các endpoint widget được lập chỉ mục công khai), các lớp bảo vệ tích hợp có thể không đủ nếu một kẻ tấn công tinh vi đang sử dụng các trang trại giải CAPTCHA bằng con người. Trong kịch bản này, hãy thêm lớp CAPTCHA thứ hai ở cấp trang sản phẩm của riêng bạn trước khi gọi photta.open(). Xác minh CAPTCHA tùy chỉnh trên máy chủ của bạn, sau đó chuyển mã thông báo xác minh đã ký cho SDK Photta dưới dạng photta.open({ verificationToken: 'your_token' }) để đảm bảo chỉ các phiên đã xác minh mới có thể bắt đầu thử đồ.
CAPTCHA tùy chỉnh là phương án cuối cùng cho các cửa hàng đã từng trải qua các cuộc tấn công tinh vi lặp đi lặp lại. Đối với đại đa số người bán, hệ thống năm lớp của Photta cung cấp đủ sự bảo vệ mà không gây ra rào cản nào cho người mua hàng. Nếu bạn đang cân nhắc việc thêm một lớp tùy chỉnh, trước tiên hãy kiểm tra Phân tích lý do chặn trong bảng Bảo mật của bạn — nếu lỗi hCaptcha chiếm ít hơn 1% tổng số lần thử bị chặn, hệ thống đang hoạt động tốt và một lớp bổ sung chỉ gây thêm phiền hà mà không mang lại lợi ích bảo mật đáng kể.