导语
现代风控基础设施厂商近日表示,代理互联网流量的快速增长意味着“机器流量首次在线上超越了人类流量”。
有行业人士坦言,这一变化出现的速度快于此前预期,原本预计将在2027年出现的拐点,已经提前到来。
这表明,AIAgent时代带来的不是数字的变化,是流量性质的变化
过去是脚本爬虫,现在是能操作真实浏览器、执行多步任务、与人行为相近的AIagent,它们越来越趋近“人”的行为。
读完这篇文章,你会更清楚三件事:
AI Agent时代的攻击,为什么不会触发任何警报;
验证码、黑名单、频控和静态规则为什么会失效;
防住AI Agent需要的不是换工具,而是增加维度。
补贴、账号、短信:一场没有预警的损失
AI Agent 带来的威胁,是正在渗透进注册页、登录框、短信发送接口的静默攻击。它不触发报警,不留明显痕迹,却在每一次拉新活动、每一个登录请求、每一条验证短信里,持续将平台资源转化为攻击者的收益。
场景一:补贴蒸发—公开套利
补贴蒸发:AI Agent 可以批量注册账号、自动绑定邀请码、循环领取新人券、首单优惠、现金返利、充值立减,再将套现后的账号批量出售。
有安全研究显示,黑产通常通过批量注册账号、自动绑定邀请码、循环邀请获取积分、将含积分账号出售等方式进行规模化套利。
以 Manus 平台为例,研究人员在某电商平台发现超过 125 个相关欺诈商品,累计"想要"数达 5,549 次,自动注册脚本售价高达 1,580 至 3,200 元人民币。攻击者已经把这件事做成了一门有定价、有市场、可规模化的生意。
场景二:账号泄露—企业失信
账号泄露:AI Agent 先过登录页验证,再以自动化方式尝试撞库、弱口令,完成账号接管(ATO)。这类攻击的规模和损失都在快速扩大。
Sift 的研究显示,四分之三的消费者在遭遇账号被盗后会停止使用该平台,87% 的人会将事件告知他人——口碑损失以几何级数放大。
更直接的是:根据 Javelin 2025 年报告,42% 的 ATO 受害者在事件发生后永久关闭了被盗账号。这些流失的用户,不会再回来。
场景三:短信盗刷—替黑产赚钱
短信盗刷:攻击者注册与高价运营商费率绑定的号码,再利用企业的注册、验证、密码重置等正常认证流程触发大量短信发送,由此获取运营商返利分成。
触发机制非常隐蔽:人工欺诈农场与移动设备农场协同运作——人工负责需要真实交互的步骤,设备农场则提供大量真实设备指纹,使流量混入正常移动用户的模式之中。
Arkose Labs 指出,规模方面,SMS 通道欺诈每年给企业造成的损失超过 100 亿美元,是过去十年的十倍。
这三类损失有一个共同特征:
补贴被套、账号被接管、短信被打穿——每一项都有对应的防护手段,但损失还在发生。
这不是攻击者运气好,而是验证码、黑名单、频控、静态规则这四道防线,各自都有一个结构性的盲区,而 AI Agent 恰好从那里走进来的。
四个被绕开的前提
从极验拦截到的流量来看,攻击手法已经高度分化:
协议破解占68%,IP频率攻击占19%,web模拟器占13%。三种手法,对应的正是现有防线四个不同方向的盲区。
拦截类型所占比例
验证码——只验人机特征
验证码设计逻辑:证明“这一关是人过的”,平台默认后续行为是可信的。
这个逻辑在脚本爬虫时代是够用的,因为脚本的执行方式相对固定,只要页面或程序规则发生变化,拦截就会生效。
但 AI agent 不仅是脚本,还能看懂页面、执行点击、处理报错、调整操作、继续推进流程。验证码通过,证明的只是这一关被完成了,并不等于后续行为可信。
平台容易将“验证通过”误判为“行为可信”,从而让自动化攻击继续沿着后续业务链路推进,最终造成补贴损失、短信消耗、账号风险和用户信任流失。
黑名单——只认已知特征
黑名单设计逻辑:拦住“确定的异常流量”
问题在于,如果持续使用黑名单逻辑去拦截AI Agent,会出现误封的情况,影响正常用户的使用。
结果就是,该拦的未必拦得住,不该拦的却可能被误伤,风险控制和正常体验会同时受损。
频控——只看单点速度
频控设计逻辑:异常流量露出“速度破绽”,它快、它密、它集中,只要设定阈值,超过就拦。
根据 Arkose Labs 的观察,现在很多攻击团伙已经把节奏压下来了。单个 IP 不快,单个账号不密,单个设备操作量不大——每一个节点都踩在阈值以内,但整体规模加起来,短信成本、注册成本、补贴预算照样被打穿。
如果在 Agent 时代仍然只靠频控拦截,结果往往是单点无异常、整体有损失。这也正是单维度判断会失效的原因。
频控守的是速度这个维度。攻击者只需要学会走路,不跑,规则就不触发。
静态规则——写死的边界,会被反复试探
静态规则设计逻辑:把已知的攻击特征、危险字段、可疑行为编成规则,凡是命中的,直接拦。
这套逻辑默认,黑产需要通过反复碰壁来摸清规则边界,这个过程效率有限,对抗成本也相对较高。
AI Agent 出现后,页面反馈会被快速转化为下一轮试错依据,字段、顺序和路径都可以持续调整,结果就是黑产对抗成本下降,业务方规则更新的时间窗口被进一步压缩。
现代风控基础设施厂商 在2026 年 6 月的报告中指出,当前模型在感知到前方有防护层时,会主动探测哪些内容被拦,再改写继续尝试。
规则是静态的,Agent 的试探过程是持续变化的。只靠已知特征来定义边界,在AIagent 场景下会越来越难奏效。
行为验证:把判断维度从请求特征升级到行为序列
前面四道防线失效,根因都在同一个地方——它们判断的是请求的静态特征,而不是行为的动态过程。换一套判断维度,才是真正的解法,而不是在原有防线上继续加锁。
这个维度,就是行为验证。
极验行为验证的核心能力建立在三个层次上:
协议破解,应对脚本层面的自动化攻击。黑产脚本依赖固定参数请求,极验通过持续变化的参数、时间戳与动态补充参数,让固定脚本的请求在到达业务层之前就失效。
图片对抗,持续提升图文素材的动态生成能力,使黑产无法通过扒取素材或撞库提前获得答案,让每一次验证都是攻击者无法预判的新题。
环境检测,基于浏览器、版本、运行环境等多维信息综合判断请求来源是否异常,在行为信号之外增加一层环境可信度的基础筛查。
对应四个失效点:
以国内某本地生活平台的注册环节为例。6月1日至4日,该平台注册接口持续承压,高风险请求从1520路每日攀升至峰值2260,传统防线没有拦住——因为这批流量的IP干净、速度不快、指纹没有前科,每一个单点看起来都"一切正常"。
6月5日接入极验行为验证后,数据从2260直接跌至62,此后稳定在58左右,降幅超过97%。
接入验证后数据波动对比折线图
验证码只守入口→ 验证码主要守住入口,行为验证则覆盖多个关键业务节点,并在整个交互过程中结合协议破解、图片对抗、环境检测等能力持续识别风险。
黑名单认不出新面孔→ 行为轨迹是动态信号,住宅代理可以洗白 IP,真实浏览器可以伪装环境,但鼠标移动的曲线、点击落点的分布、操作节奏的自然随机性,是极难被完整复刻的。环境干净,遮不住行为不像人。
频控守不住低速打法→ 慢速 Agent 的操作序列照样带有机器特征。频率只是一个维度,行为验证判断的是单次交互本身的质量——即使攻击者把节奏压得再低,单次操作的行为模式仍然会暴露。
静态规则被摸透→ 行为模型是持续更新的,它不依赖固定规则,而是在对抗中动态迭代。攻击者每一次试探,换来的不是经验积累,而是更高的破解成本。规则不再是可以被学会的天花板。
守住的是用户放在这里的信任
AIAgent 的渗透速度,比大多数企业的防护迭代速度更快
静态规则的维护成本会越来越高,因为每一条规则都在成为攻击者的训练数据
行业趋势指明,互联网的访客结构已经永久改变了。这不是一次流量异常,不是某个攻击团伙的短期行动,而是自动化渗透进入了一个新的基准水位。
真正值得警惕的,不是那 57.5% 本身,而是它还在增长,而且增长的部分越来越难被认出来。
企业真正脆弱的地方,在于用户开始怀疑这个平台是否安全。一次大规模 ATO、一轮补贴被系统性套走、一批账号进入撞库名单,技术修复或许只要几天,用户信任的修复往往要几个月,甚至更久。
所以防住 AI Agent,本质上不是在和攻击者博弈,而是在替真实用户守住他们放在你这里的信任。
攻击者不需要赢每一次,他们只需要你的防线足够久没有进化。而行为验证的意义,正是让这条线不再静止。