Cloudflare вместе с Mozilla Firefox, Google Chrome, Microsoft Edge и Shopify работает над новым протоколом PACT — Private Access Control Tokens. Его задача — помочь сайтам отличать допустимый трафик от вредоносного без привычных CAPTCHA, лишних входов в аккаунт и скрытого поведенческого трекинга.
Идею представили 22 июня 2026 года. Cloudflare описывает PACT как открытую инициативу, которую участники хотят довести до стандартизации. Это важно: если протокол останется решением одного поставщика, он быстро превратится в еще один закрытый фильтр. Участие сразу нескольких браузеров показывает, что индустрия пытается договориться о более общей модели проверки доступа.
CAPTCHA давно стала плохим компромиссом. Пользователь выбирает автобусы, светофоры и витрины, а сайты всё равно продолжают собирать дополнительные сигналы: IP-адрес, поведение мыши, отпечаток браузера, cookie, репутацию сети и историю сессии. Людям неудобно, пользователям VPN и Tor ещё неудобнее, а автоматизированные системы научились проходить часть таких проверок через распознавание изображений, браузерную автоматизацию и фермы ручного решения.
PACT предлагает другой подход. Сайт получает приватный криптографический токен. Такой токен должен подтверждать, что запрос выглядит легитимно: это может быть человек, полезный бот или авторизованный ИИ-агент. При этом сайт не должен узнавать личность пользователя, историю его действий и место, где токен был выдан.
The Register описывает идею как переносимый результат проверки: браузер предъявляет приватное подтверждение, что трафик уже прошёл доверенную оценку. Проверяется не столько «человек или робот», сколько полезность и допустимость запроса. В эпоху ИИ-агентов это принципиальная смена логики: часть автоматического трафика будет нормальной, а часть человеческого — вредной.
Техническая основа близка к Privacy Pass — стандарту приватных токенов. Его смысл в разделении ролей: один участник выдаёт токен, другой принимает его, но не может связать использование токена с конкретной выдачей. В идеальной реализации сайт видит только факт доверенного подтверждения, а не цифровой паспорт пользователя.
Для сайтов выгода понятна. CAPTCHA ломает конверсию, особенно в интернет-магазинах, банках, сервисах доставки и на формах регистрации. Shopify участвует в инициативе именно из-за коммерческого эффекта: защита от ботов нужна, но каждый лишний шаг на оплате или оформлении заказа превращается в потерянного покупателя.
Причина запуска PACT — рост автоматизированного трафика. Cloudflare и профильные медиа указывают, что вредоносные боты стали серьёзной частью веб-нагрузки, а появление ИИ-агентов ещё сильнее размывает старую границу между человеком и программой. Сайтам теперь нужно отличать не «ботов вообще», а разрешённую автоматизацию от скрапинга, фрода, атак на формы входа, накруток и массового сбора данных.
Но у технологии есть слабое место: доверие. Кто будет выдавать токены? Браузер? Крупный сайт? Облачный провайдер? Платформа с аккаунтом пользователя? От ответа зависит, станет ли PACT приватной заменой CAPTCHA или новым пропускным режимом для интернета.
Mozilla раньше сама писала о рисках Privacy Pass-подобных систем. Даже если криптография устроена правильно, рынок может уйти к нескольким крупным эмитентам токенов. Тогда они получат дополнительную власть над доступом к сайтам. Пользователям популярных браузеров станет проще, а владельцы редких браузеров, анонимных сетей, кастомных сборок и усиленных privacy-настроек снова увидят больше блокировок.
Ещё один риск — невидимость решения. CAPTCHA раздражает, но её хотя бы видно. Токен работает тихо, что удобно до первого отказа. Если сайт не пускает пользователя из-за отсутствия токена, человеку нужно понятное объяснение: кто отказал, почему, как пройти альтернативную проверку и можно ли оспорить решение.
PACT также может не заменить старые методы, а добавиться к ним. Плохой сценарий выглядит так: сайты сохранят fingerprinting, IP-репутацию и поведенческий анализ, а дополнительно требуют токен. Тогда пользователь получит просто ещё один дополнительный способ контроля. Буде лучше, если токены действительно заменят часть скрытого трекинга и уменьшат количество CAPTCHA.
Для Tor, VPN и пользователей с нестандартными настройками приватности исход пока не очевиден. Теоретически PACT может помочь: сайт перестанет судить только по подозрительному IP и примет приватный токен. Практически всё зависит от того, смогут ли такие пользователи получать токены без раскрытия личности и привязки к крупной платформе.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
