互联网上那些令人不胜其烦的验证码——反复选择红绿灯、圈出斑马线、辨识模糊的商店招牌——可能很快就要成为过去式了。2025年6月22日,Cloudflare联合Mozilla Firefox、谷歌Chrome和微软Edge浏览器,正式宣布了一项名为“私密访问控制令牌”(PACT)的新协议,并计划将其推动为行业标准。

简而言之,PACT的核心能力是:在充分保障用户隐私的前提下,帮助网站区分出哪些是真人访问、哪些是经过授权的机器人流量,从而证明当前请求并非恶意攻击。这个思路听起来并不复杂,但背后其实触及了当下互联网最棘手的矛盾之一。
随着AI智能体逐渐取代人工点击来完成各种操作,网站运营者目前处境相当尴尬:既要有效拦截恶意自动化爬虫,又不能强迫所有用户强制登录,更不愿采用那些侵入式的追踪手段。传统的那套防御体系——验证码、IP封禁、行为分析——在生成式AI带来的新型威胁面前,已经越来越力不从心。恶意自动化流量的数量呈爆炸式增长,手段也更加狡猾,造成的经济损失自然水涨船高。更要命的是,当AI智能体可以模仿人类操作时,网站根本难以判断对面到底是一个真实用户、一个经过授权的机器人助手,还是一个恶意程序。强制登录和身份核验虽然能解决问题,但代价是牺牲用户隐私和信任,这显然不是长久之计。
PACT的解决方案十分巧妙。它允许那些能够可靠确认用户真实身份的平台(比如你常用的邮箱、社交网络)向用户签发一个匿名令牌。当你访问另一个网站时,你的浏览器可以出示这个令牌,向新网站证明:“刚才有真人参与了操作,我是可信的。”这样一来,新网站就不需要再让你做那些烦琐的验证码,也不必有部署追踪脚本。更重要的是,PACT在设计上严格禁止网站通过令牌来识别具体用户或追踪浏览记录——令牌只是“我是真人”的证明,而不是“我是谁”的身份证。
对网站运营者来说,PACT带来的直接收益是:可以更精准地识别真实访问者,把服务器资源和运营精力真正投入到有价值的流量上;同时,借助已建立信任的服务场景确认访问者身份,又不会向其他网站暴露个人信息。换句话说,互联网流量的可信度和完整性有望得到整体提升,而且不需要付出传统身份验证和追踪的高昂成本。这或许就是未来网络访问体验的一个重要转折点。
