此翻译由机器生成,正在等待审核。切换到英语
深色
控制台联系我们

访客如何变成一次决策。

评分背后引擎的导览——浏览器如何被读取、转化为校准的风险判读,并交还给你的代码。端到端跟随全程:我们测量的信号、拦截的威胁,以及每次判定背后的结果。

阅读文档

每台设备都在讲述一个故事。我们识破其中的虚构。

拦截欺诈和机器人,同时不打扰你辛苦赢得的客户。对每位访客获得清晰的风险判读——并决定如何应对。

智能体安全与浏览器智能,如今为 agentic web 而构建 — 用内置 AI 助手运营你的控制台,让你的智能体通过只读 MCP 服务器读取 Noxtica,并管控你信任哪些智能体。

从信号到决策。

四个阶段。读取浏览器,结果被安全地交付到你的后端,你的服务器得到一份清晰的风险读数,再由你的代码做出决定。

访客一落地,一段轻量脚本就读取其浏览器 — 悄无声息,绝不拖慢你的页面。

→ 阅读文档:完整集成流程

一次读取。一个判定。附上原因。

87

低风险 — 放行

示意样例 — 非实时流量。

我们为什么不告诉你“这是机器人”。

大多数工具只说你想听的话:机器人还是真人。干净、简单,而且往往是错的 — 还看不到它是怎么得出结论的。你要么信那个答案,要么不信。

真实客户和真实攻击者可以惊人地相似。有用的问题不是“这是不是机器人”,而是“这位访客有多不寻常,其中可疑的部分又有多难伪造?”。这正是我们回答的问题。

// 我们不只是说“这是机器人”。

// 我们给你一份清晰的风险研判 — 以及理由。

// 由你决定。

当一个标记落在真实客户身上时,你的团队能够解释它 — 对法务,对产品,对客户本人。每一个决定都附带其理由,因此没有任何需要凭信任接受的东西,也没有你无法调校的东西。

你拿到的不是黑盒式的是/否。你拿到的是一份清晰的风险研判、一个置信度等级,以及两者背后的理由 — 那张收据。最终的拍板权在你,因为只有你的团队知道有多少东西摆在桌上。

大多数工具丢给你一个是/否,并把它们如何得出结论藏起来。我们给你一份清晰的风险研判,附带理由 — 再让你的团队来拍板。

→ 阅读文档:为何采用校准式研判

我们测量什么。

四层信号,合成为一份校准过的指纹。每一层回答一个不同的问题 — 合起来,就是判决与测量之间的差别。

  • 浏览器是真的吗?

    浏览器情报

    在自动化流量、伪装浏览器和合成访客到达的瞬间就将其捕获 — 不让它们到达你的注册、登录或结账。真实客户能通过,假的不能。

  • 网络是安全的吗?

    网络信号

    在不惩罚合法流量的前提下识别可疑来源和高风险基础设施。远程工作者、VPN 用户和企业网络依然受欢迎。批发式的欺诈来源被标记出来。

  • 设备是真的吗?

    硬件验证

    验证会话背后的真实设备 — 不仅仅是其上运行的软件。真实设备上的真实用户轻松通过。运行在共享、一次性基础设施上的机器人会立刻浮现。

  • 用户是真的吗?

    行为指纹

    通过与页面交互的节奏来分辨真人和脚本。人类会犹豫、纠正、探索。自动化以一种难以掩饰的暴露式精度移动。

还有一项由我们管控:Know Your Agent

这四层测量的是访客。AI 智能体和机器人则不同 — 你不只是测量它们,而是要决定是否信任它们。Know Your Agent 让你按租户、通过 JWK thumbprint 或 Signature-Agent 主机允许或拒绝智能体,并与 Web Bot Auth 验证集成。

→ 检测类别

我们捕获什么。

让你付出代价的威胁——自动化、欺诈和滥用——在不误伤真实客户的前提下被拦截。

拦截欺诈并非一次检查。现实中的滥用混合了自动化流量、可疑来源和说不通的行为。我们把这一切转化为你的团队真正会做出的那类决策——拦截、挑战、放行、观察。

  • 机器人与自动化流量

    Headless 浏览器、浏览器自动化框架和脚本滥用 — 包括为规避检测而设计的“stealth”变体。快车道和慢车道都会被捕获。

    在自动化流量到达登录、注册或结账之前就将其识别出来。

  • 隐藏真实身份的会话

    浏览器对自己的指纹撒谎的会话。伪造的 canvas 输出、被改写的运行时 API、采取激进对策的反指纹扩展。

    在不阻挡诚实的隐私选择的前提下,把蓄意的规避企图暴露出来。

  • 可疑来源

    来自数据中心、匿名代理、被弃用协议和已知恶意网段的流量。我们标记这些模式,但不会拦截恰好在企业 VPN 上的真实用户。

    识别批发式欺诈的信号 — 同时不会对远程工作者误开火。

  • 注重隐私的用户,公平对待

    Tor、Brave Strict、Firefox-RFP、LibreWolf — 被识别并以校准过的宽容对待。注重隐私的用户依然受欢迎;躲在隐私浏览器背后的机器人则不受欢迎。

    在捕获藏匿其中的攻击者的同时,欢迎正当的隐私用户。

  • 伪造与一次性设备

    我们越过浏览器,看向设备本身,因此模拟器和一次性虚拟机无法冒充真实硬件。那些能击败仅浏览器层检查的机器人,会在这里被捕获。

    验证设备确实是它自称的样子 — 而不仅仅是其上运行的浏览器。

  • 不像人类的行为

    一个人移动、打字和滚动的方式,与脚本毫无相似之处。真实用户会犹豫和探索;自动化则以暴露式的精度出卖自己。

    捕获那些在纸面上看起来像人,但行为不像人的会话。

访客的请求会被逐一对照我们拦截的各类威胁进行读取,并汇聚成一份清晰的风险读数。

  1. 浏览器请求
  2. 清晰的风险读数
  3. 您的决策

每一项都为你提供一份清晰的风险读数和一个置信度——而不是生硬的是/否。最终决策归你的团队所有。我们只确保你据以行动的依据是诚实的。

→ 在文档中查看全部检测方法

看看我们能拦截什么。

六种攻击模式,每一种都源自上述威胁类别——通过回放展示校准的风险判读及其驱动的判定。

  • 无头自动化洪流

    94/ 100 风险

    已阻止判读用时 410ms

    一波无头脚本化会话同步冲击登录。

  • 伪造指纹会话

    78/ 100 风险

    升级验证判读用时 470ms

    浏览器在自己的 canvas 输出和运行时 API 上撒谎。

  • 数据中心代理来源

    86/ 100 风险

    已阻止判读用时 350ms

    请求通过匿名化的数据中心网段路由。

  • 隐私浏览器访客

    24/ 100 风险

    放行判读用时 340ms

    一位使用加固隐私浏览器的真实用户 — 直接放行。

  • 一次性虚拟机

    90/ 100 风险

    已阻止判读用时 520ms

    模拟设备伪装成真实消费级硬件。

  • 非人类交互模式

    71/ 100 风险

    升级验证判读用时 430ms

    表单填写精确到露出破绽,没有真人会这样输入。

源自上述类别的示意模式——并非客户数据。评分采用与你的策略所依据相同的 0–100 区间。

守住欺诈防线。让客户继续前进。

来自早期设计合作伙伴上线后的数据 — 已匿名分享

  • 47%某设计合作伙伴在头 90 天内削减的拒付
  • 99.6%在该次部署中被原样放行、毫无打扰的真实客户占比
  • ~500ms增加到结账流程 — 眨眼之间完成完整风险研判
  • $ noxtica use-case --marketplace

    市集平台

    市集平台使用 Noxtica,在协同作案的虚假账户团伙用假评论淹没诚实卖家之前就将其识破。登录不同、地址不同 — 但相同的自动化配置出卖了它们。

    在虚假账户团伙淹没你诚实的卖家之前就将其识破。

  • $ noxtica use-case --financial

    金融服务

    无卡支付商户使用 Noxtica,仅在一笔付款看起来来自陌生之处时才追加一次快速的额外检查。真实客户毫无察觉;欺诈团伙在每次尝试都撞上一堵墙。

    仅在有必要时才追加一次检查。真实客户毫无察觉。

  • $ noxtica use-case --identity

    身份敏感的平台

    无密码和 magic-link 平台使用 Noxtica,确保链接由发起请求的同一个人打开。把链接中继给他人的钓鱼工具包会在门口就被拦下。

    magic-link 只为发起请求的本人打开。钓鱼止步于此。

→ 阅读文档:完整用例

四类受众,同一信号。

智能体安全与浏览器智能很少只属于一个团队。同一个信号会影响企业、平台以及使用它们的人。

  • 面向企业

    反欺诈团队、安全工程师、平台 PM。欺诈得手时要付出代价的团队 — 以及真实客户流失时要付出代价的团队。

    • 在伪造注册让你付出代价之前就将其识破,削减拒付
    • 在攻击者得手之前发现账户接管
    • 面向 SOC 2、ISO 27001 和 GDPR 的审计就绪轨迹
  • 面向平台

    市集、社交网络、多边平台。用户之间的信任就是整个生意 — 而大规模阻止虚假账户就是你的护城河。

    • 检测重复账户滥用,而不会误锁真实用户
    • 只把看起来不对劲的账户推到前台,降低审核负担
    • 在注册环节就阻断付费水军场和刷差评团伙
  • 面向用户

    终端用户。被讨论得太少的利益相关者。仅仅因为使用 Brave 就被误判挑战、被拦截、被要求解 CAPTCHA 的人。

    • 除非确实有可疑之处,否则不出现 CAPTCHA
    • 使用隐私浏览器的真实用户依然受欢迎,而非被惩罚
    • 不收集个人数据。没有跟踪 Cookie。没有跨站身份。
  • 面向 AI 与智能体

    agentic web。用 Know Your Agent 管控你信任哪些智能体,用内置 AI 助手运营控制台,并让你自己的智能体通过只读的 MCP 集成读取 Noxtica。

→ 阅读文档:按受众划分的使用案例

我们做到 agentic 的三种坦诚方式。

"agentic"一词被滥用得很厉害。这就是它在 Noxtica 的确切含义 — 三项今天即可使用的能力,不会对你的系统做任何自主更改。

  • 我们运营控制台

    一个内置的 AI 助手 — 由 Claude 驱动,并提供 OpenAI、Gemini 和 xAI 选项 — 在运营者会话下于服务器端运行,为你读取策略、规则、域名和风险分布,具备按租户的预算上限和完整的审计日志。

    助手如何工作 →
  • 你的智能体读取 Noxtica

    一个可选启用、只读的 Model Context Protocol (MCP) 服务器,让你自己的 AI 智能体通过 JSON-RPC 读取策略、规则、告警和风险分布,使用你自行签发的、限定范围、限流并经审计的 bearer 令牌 — 仅限读取访问,绝不写入。

    阅读 MCP 文档 →
  • 我们监管 agentic web

    Know Your Agent (KYA) 是一个防御性注册表:按租户管控你允许或拒绝哪些 AI 智能体和机器人 — 通过 JWK thumbprint 或 Signature-Agent 主机 — 并与 Web Bot Auth 验证集成。

    探索 Know Your Agent →
我们的方向

我们正朝着自我校准和反馈回路构建;如今由运营者以完全的控制权调校策略和阈值。

为通过安全审查而构建。

审查人员会问到的安全态势 — 六项你可以自行核验的控制,而不是凭信任接受。

  • 可配置的数据驻留

  • 符合 GDPR

  • 开放的 SDK 源代码

  • 不收集 PII

  • ~500ms 内完成完整风险研判

  • 清晰的研判,而非魔法

一个伙伴,而非一份价目表。

安心交付所需的一切 — 你不需要的东西一概没有。

包含内容

  • 透明定价 — 没有演示墙
  • 由真实工程师提供的实操引导
  • 符合 GDPR,可配置数据驻留,已为 SOC 2 做好准备
  • 直接人工支持 — 无销售流程

你已经看过它如何读取。

看看它会从你的流量中读到什么 — 十五分钟,不放幻灯片。

团队最先会问的问题。

买家和工程师在一开始就想搞清楚的事。完整的技术 FAQ — 包体大小、API、iframe、阈值 — 都在文档里。

这会错误阻止我的真实客户吗?

这正是我们要防止的情况。被拦下的客户很少会回来,所以默认策略偏谨慎:我们宁愿让一个机器人漏过去,也不愿误拦一个真实用户。你会拿到清晰的风险研判,并自行决定严格程度 — 随着你了解自己的流量,可以调得更紧或更松。

它适用于重视隐私的用户吗 — Brave、Tor、LibreWolf?

适用,而且他们依然受欢迎。隐私浏览器不会破坏任何东西;我们只是识别它们,并公平对待背后的真实用户,而不是悄悄惩罚他们。如果你的产品面向敏感受众,你可以选择给这些用户更多余量。

如果 Noxtica 发生中断怎么办?

你的网站会继续工作。如果一次检查无法及时连接到我们,你会拿到安全默认值,让你的代码可以优雅降级 — 例如挑战而不是阻止 — 而不是把任何人锁在外面。我们承诺 99.95% 可用性,并发布公开状态页。

我们需要工程师来运行它吗?

需要一点。你的网站上放一段小脚本;当你需要决策时,你的服务器执行一次检查。无需托管任何东西,无需维护运行,重活由我们完成。大多数团队一个下午就能上线 — 文档里有分步指南。

它合规吗 — GDPR、CCPA、欧盟数据?

合规。我们不收集不需要的个人数据,默认不存储原始 IP,并将数据保留在欧盟。我们会签署数据处理协议,支持按请求硬删除,并公布子处理方列表。你的隐私和法务团队会得到直接答案,而不是含糊其辞。

更多内容在文档里 — 包体大小、API、iframe、阈值调优,以及完整的技术问答。→ 阅读文档:完整技术 FAQ