可配置的数据驻留
每台设备都在讲述一个故事。我们识破其中的虚构。
拦截欺诈和机器人,同时不打扰你辛苦赢得的客户。对每位访客获得清晰的风险判读——并决定如何应对。
智能体安全与浏览器智能,如今为 agentic web 而构建 — 用内置 AI 助手运营你的控制台,让你的智能体通过只读 MCP 服务器读取 Noxtica,并管控你信任哪些智能体。
从信号到决策。
四个阶段。读取浏览器,结果被安全地交付到你的后端,你的服务器得到一份清晰的风险读数,再由你的代码做出决定。
访客一落地,一段轻量脚本就读取其浏览器 — 悄无声息,绝不拖慢你的页面。
它所看到的内容被安全地交付到你的后端——在途中无法伪造、复制或重放。
你的服务器完成检查,并拿到清晰的风险研判及其背后的原因 — 大约半秒。
由你的代码拍板:拦截、挑战、观察或放行。你的策略,你的语境,你的决定。
一次读取。一个判定。附上原因。
87
低风险 — 放行
示意样例 — 非实时流量。
我们为什么不告诉你“这是机器人”。
大多数工具只说你想听的话:机器人还是真人。干净、简单,而且往往是错的 — 还看不到它是怎么得出结论的。你要么信那个答案,要么不信。
真实客户和真实攻击者可以惊人地相似。有用的问题不是“这是不是机器人”,而是“这位访客有多不寻常,其中可疑的部分又有多难伪造?”。这正是我们回答的问题。
// 我们不只是说“这是机器人”。
// 我们给你一份清晰的风险研判 — 以及理由。
// 由你决定。
当一个标记落在真实客户身上时,你的团队能够解释它 — 对法务,对产品,对客户本人。每一个决定都附带其理由,因此没有任何需要凭信任接受的东西,也没有你无法调校的东西。
你拿到的不是黑盒式的是/否。你拿到的是一份清晰的风险研判、一个置信度等级,以及两者背后的理由 — 那张收据。最终的拍板权在你,因为只有你的团队知道有多少东西摆在桌上。
大多数工具丢给你一个是/否,并把它们如何得出结论藏起来。我们给你一份清晰的风险研判,附带理由 — 再让你的团队来拍板。
五个清晰的等级,而非生硬的是/否 — 也绝不会是无声的拦截。
我们测量什么。
四层信号,合成为一份校准过的指纹。每一层回答一个不同的问题 — 合起来,就是判决与测量之间的差别。
浏览器是真的吗?
浏览器情报
在自动化流量、伪装浏览器和合成访客到达的瞬间就将其捕获 — 不让它们到达你的注册、登录或结账。真实客户能通过,假的不能。
网络是安全的吗?
网络信号
在不惩罚合法流量的前提下识别可疑来源和高风险基础设施。远程工作者、VPN 用户和企业网络依然受欢迎。批发式的欺诈来源被标记出来。
设备是真的吗?
硬件验证
验证会话背后的真实设备 — 不仅仅是其上运行的软件。真实设备上的真实用户轻松通过。运行在共享、一次性基础设施上的机器人会立刻浮现。
用户是真的吗?
行为指纹
通过与页面交互的节奏来分辨真人和脚本。人类会犹豫、纠正、探索。自动化以一种难以掩饰的暴露式精度移动。
还有一项由我们管控:Know Your Agent
这四层测量的是访客。AI 智能体和机器人则不同 — 你不只是测量它们,而是要决定是否信任它们。Know Your Agent 让你按租户、通过 JWK thumbprint 或 Signature-Agent 主机允许或拒绝智能体,并与 Web Bot Auth 验证集成。
我们捕获什么。
让你付出代价的威胁——自动化、欺诈和滥用——在不误伤真实客户的前提下被拦截。
拦截欺诈并非一次检查。现实中的滥用混合了自动化流量、可疑来源和说不通的行为。我们把这一切转化为你的团队真正会做出的那类决策——拦截、挑战、放行、观察。
机器人与自动化流量
Headless 浏览器、浏览器自动化框架和脚本滥用 — 包括为规避检测而设计的“stealth”变体。快车道和慢车道都会被捕获。
在自动化流量到达登录、注册或结账之前就将其识别出来。
隐藏真实身份的会话
浏览器对自己的指纹撒谎的会话。伪造的 canvas 输出、被改写的运行时 API、采取激进对策的反指纹扩展。
在不阻挡诚实的隐私选择的前提下,把蓄意的规避企图暴露出来。
可疑来源
来自数据中心、匿名代理、被弃用协议和已知恶意网段的流量。我们标记这些模式,但不会拦截恰好在企业 VPN 上的真实用户。
识别批发式欺诈的信号 — 同时不会对远程工作者误开火。
注重隐私的用户,公平对待
Tor、Brave Strict、Firefox-RFP、LibreWolf — 被识别并以校准过的宽容对待。注重隐私的用户依然受欢迎;躲在隐私浏览器背后的机器人则不受欢迎。
在捕获藏匿其中的攻击者的同时,欢迎正当的隐私用户。
伪造与一次性设备
我们越过浏览器,看向设备本身,因此模拟器和一次性虚拟机无法冒充真实硬件。那些能击败仅浏览器层检查的机器人,会在这里被捕获。
验证设备确实是它自称的样子 — 而不仅仅是其上运行的浏览器。
不像人类的行为
一个人移动、打字和滚动的方式,与脚本毫无相似之处。真实用户会犹豫和探索;自动化则以暴露式的精度出卖自己。
捕获那些在纸面上看起来像人,但行为不像人的会话。
访客的请求会被逐一对照我们拦截的各类威胁进行读取,并汇聚成一份清晰的风险读数。
- 浏览器请求
- 清晰的风险读数
- 您的决策
每一项都为你提供一份清晰的风险读数和一个置信度——而不是生硬的是/否。最终决策归你的团队所有。我们只确保你据以行动的依据是诚实的。
看看我们能拦截什么。
六种攻击模式,每一种都源自上述威胁类别——通过回放展示校准的风险判读及其驱动的判定。
- 无头自动化洪流
94/ 100 风险
已阻止判读用时 410ms一波无头脚本化会话同步冲击登录。
- 伪造指纹会话
78/ 100 风险
升级验证判读用时 470ms浏览器在自己的 canvas 输出和运行时 API 上撒谎。
- 数据中心代理来源
86/ 100 风险
已阻止判读用时 350ms请求通过匿名化的数据中心网段路由。
- 隐私浏览器访客
24/ 100 风险
放行判读用时 340ms一位使用加固隐私浏览器的真实用户 — 直接放行。
- 一次性虚拟机
90/ 100 风险
已阻止判读用时 520ms模拟设备伪装成真实消费级硬件。
- 非人类交互模式
71/ 100 风险
升级验证判读用时 430ms表单填写精确到露出破绽,没有真人会这样输入。
源自上述类别的示意模式——并非客户数据。评分采用与你的策略所依据相同的 0–100 区间。
守住欺诈防线。让客户继续前进。
来自早期设计合作伙伴上线后的数据 — 已匿名分享
- 47%某设计合作伙伴在头 90 天内削减的拒付
- 99.6%在该次部署中被原样放行、毫无打扰的真实客户占比
- ~500ms增加到结账流程 — 眨眼之间完成完整风险研判
$ noxtica use-case --marketplace市集平台
市集平台使用 Noxtica,在协同作案的虚假账户团伙用假评论淹没诚实卖家之前就将其识破。登录不同、地址不同 — 但相同的自动化配置出卖了它们。
在虚假账户团伙淹没你诚实的卖家之前就将其识破。
$ noxtica use-case --financial金融服务
无卡支付商户使用 Noxtica,仅在一笔付款看起来来自陌生之处时才追加一次快速的额外检查。真实客户毫无察觉;欺诈团伙在每次尝试都撞上一堵墙。
仅在有必要时才追加一次检查。真实客户毫无察觉。
$ noxtica use-case --identity身份敏感的平台
无密码和 magic-link 平台使用 Noxtica,确保链接由发起请求的同一个人打开。把链接中继给他人的钓鱼工具包会在门口就被拦下。
magic-link 只为发起请求的本人打开。钓鱼止步于此。
四类受众,同一信号。
智能体安全与浏览器智能很少只属于一个团队。同一个信号会影响企业、平台以及使用它们的人。
面向企业
反欺诈团队、安全工程师、平台 PM。欺诈得手时要付出代价的团队 — 以及真实客户流失时要付出代价的团队。
- 在伪造注册让你付出代价之前就将其识破,削减拒付
- 在攻击者得手之前发现账户接管
- 面向 SOC 2、ISO 27001 和 GDPR 的审计就绪轨迹
面向平台
市集、社交网络、多边平台。用户之间的信任就是整个生意 — 而大规模阻止虚假账户就是你的护城河。
- 检测重复账户滥用,而不会误锁真实用户
- 只把看起来不对劲的账户推到前台,降低审核负担
- 在注册环节就阻断付费水军场和刷差评团伙
面向用户
终端用户。被讨论得太少的利益相关者。仅仅因为使用 Brave 就被误判挑战、被拦截、被要求解 CAPTCHA 的人。
- 除非确实有可疑之处,否则不出现 CAPTCHA
- 使用隐私浏览器的真实用户依然受欢迎,而非被惩罚
- 不收集个人数据。没有跟踪 Cookie。没有跨站身份。
面向 AI 与智能体
agentic web。用 Know Your Agent 管控你信任哪些智能体,用内置 AI 助手运营控制台,并让你自己的智能体通过只读的 MCP 集成读取 Noxtica。
我们做到 agentic 的三种坦诚方式。
"agentic"一词被滥用得很厉害。这就是它在 Noxtica 的确切含义 — 三项今天即可使用的能力,不会对你的系统做任何自主更改。
我们运营控制台
一个内置的 AI 助手 — 由 Claude 驱动,并提供 OpenAI、Gemini 和 xAI 选项 — 在运营者会话下于服务器端运行,为你读取策略、规则、域名和风险分布,具备按租户的预算上限和完整的审计日志。
助手如何工作 →你的智能体读取 Noxtica
一个可选启用、只读的 Model Context Protocol (MCP) 服务器,让你自己的 AI 智能体通过 JSON-RPC 读取策略、规则、告警和风险分布,使用你自行签发的、限定范围、限流并经审计的 bearer 令牌 — 仅限读取访问,绝不写入。
阅读 MCP 文档 →我们监管 agentic web
Know Your Agent (KYA) 是一个防御性注册表:按租户管控你允许或拒绝哪些 AI 智能体和机器人 — 通过 JWK thumbprint 或 Signature-Agent 主机 — 并与 Web Bot Auth 验证集成。
探索 Know Your Agent →
我们正朝着自我校准和反馈回路构建;如今由运营者以完全的控制权调校策略和阈值。
为通过安全审查而构建。
审查人员会问到的安全态势 — 六项你可以自行核验的控制,而不是凭信任接受。
符合 GDPR
开放的 SDK 源代码
不收集 PII
~500ms 内完成完整风险研判
清晰的研判,而非魔法
一个伙伴,而非一份价目表。
安心交付所需的一切 — 你不需要的东西一概没有。
包含内容
- 透明定价 — 没有演示墙
- 由真实工程师提供的实操引导
- 符合 GDPR,可配置数据驻留,已为 SOC 2 做好准备
- 直接人工支持 — 无销售流程
团队最先会问的问题。
买家和工程师在一开始就想搞清楚的事。完整的技术 FAQ — 包体大小、API、iframe、阈值 — 都在文档里。
这会错误阻止我的真实客户吗?
这正是我们要防止的情况。被拦下的客户很少会回来,所以默认策略偏谨慎:我们宁愿让一个机器人漏过去,也不愿误拦一个真实用户。你会拿到清晰的风险研判,并自行决定严格程度 — 随着你了解自己的流量,可以调得更紧或更松。
它适用于重视隐私的用户吗 — Brave、Tor、LibreWolf?
适用,而且他们依然受欢迎。隐私浏览器不会破坏任何东西;我们只是识别它们,并公平对待背后的真实用户,而不是悄悄惩罚他们。如果你的产品面向敏感受众,你可以选择给这些用户更多余量。
如果 Noxtica 发生中断怎么办?
你的网站会继续工作。如果一次检查无法及时连接到我们,你会拿到安全默认值,让你的代码可以优雅降级 — 例如挑战而不是阻止 — 而不是把任何人锁在外面。我们承诺 99.95% 可用性,并发布公开状态页。
我们需要工程师来运行它吗?
需要一点。你的网站上放一段小脚本;当你需要决策时,你的服务器执行一次检查。无需托管任何东西,无需维护运行,重活由我们完成。大多数团队一个下午就能上线 — 文档里有分步指南。
它合规吗 — GDPR、CCPA、欧盟数据?
合规。我们不收集不需要的个人数据,默认不存储原始 IP,并将数据保留在欧盟。我们会签署数据处理协议,支持按请求硬删除,并公布子处理方列表。你的隐私和法务团队会得到直接答案,而不是含糊其辞。
更多内容在文档里 — 包体大小、API、iframe、阈值调优,以及完整的技术问答。→ 阅读文档:完整技术 FAQ