Cloudflare lanceert Precursor om bots te detecteren door de hele sessie te volgen

Cloudflare heeft Precursor geïntroduceerd, een systeem dat continu het gedrag van een bezoeker binnen een webapplicatie analyseert om een mens van een bot of geautomatiseerd agentschap te onderscheiden. In plaats van elke aanvraag afzonderlijk te beoordelen of de gebruiker alleen bij het inloggen te controleren, bouwt de technologie een compleet beeld van de hele sessie.

Het product gebruikt door Cloudflare geïnjecteerde JavaScript om signalen waar te nemen zoals muisbewegingen, het ritme van het gebruik van het toetsenbord, focuswisselingen en de tijd dat de pagina zichtbaar blijft. Deze gegevens worden verwerkt op de periferie-servers van het bedrijf en geïntegreerd in hun bot-score, beveiligingsregels en beslissingen over het al dan niet tonen van een uitdaging.

Precursor van Cloudflare: de kernpunten in 20 seconden

  • Analyseert gedrag gedurende hele sessie, niet slechts een enkele aanvraag.
  • Maakt gebruik van een klein script dat Cloudflare aan de HTML-antwoorden toevoegt.
  • Verzamelt muisbewegingen, toetsenbordinvoer, focus en zichtbaarheid.
  • Cloudflare garandeert dat het tempo van typen wordt geregistreerd, maar niet de geklikte toetsen.
  • De gegevens worden regelmatig verzonden naar de infrastructuur voor evaluatie.
  • De verzamelde informatie kan de bot-score van de sessie aanpassen.
  • Stelt de status bij in de cookie cf_clearance.
  • Kan opnieuw controleren of een gebruiker die al een uitdaging heeft doorstaan.
  • Vult aan op Turnstile en vervangt JavaScript Detections wanneer geactiveerd.
  • Beschikbaar voor Enterprise Bot Management-klanten en zal gratis zijn tot de algemene lancering, voorzien voor later in 2026.

Precursor probeert een zwakte van huidige systemen te dichten. Een geavanceerde bot kan JavaScript uitvoeren, een echte browser besturen en zich correct gedragen tijdens het korte moment dat een CAPTCHA verschijnt. Een geloofwaardig gedrag gedurende meerdere minuten volhouden, terwijl men pagina’s bezoekt, formulieren invult en reageert op diverse elementen, is veel moeilijker.

Cloudflare beweert dat er dagelijks meer dan een biljoen verzoeken door hun netwerk worden geanalyseerd, en dat Turnstile bijna 3 miljard keer per dag wordt uitgevoerd. Dit zijn cijfers van het bedrijf zelf en geven inzicht in de schaal waarop zij hun detectiemechanismen trainen en afstellen.

Van een eenmalige controle naar gedragssignatuur van een hele sessie

Traditionele systemen nemen meestal een beslissing op basis van een specifieke actie: de bezoeker opent een pagina, meldt zich aan, creëert een account of voltooit een aankoop. Op dat moment worden het IP-adres, de headers, de reputatie van het apparaat, de browser en andere signalen geëvalueerd.

Dat aanpak werkt voor eenvoudige automatisering, maar geeft slechts een korte momentopname. Een aanvaller kan de browser zodanig voorbereiden dat deze de test doorstaat en daarna misbruik begint: content extraheren, credentials testen, producten reserveren, nepaccounts aanmaken of geautomatiseerd aankopen uitvoeren.

Precursor transformeert die momentopname in een sequentie. Het systeem controleert of de acties gedurende de hele sessie logisch menselijk gedrag blijven vertonen en kruist diverse signalen. Bijvoorbeeld, het kan verifiëren of de beweging van de muis overeenkomt met de tijd dat het tabblad zichtbaar was, of dat toetsenbordinvoer plaatsvond terwijl een tekstveld de focus had.

Cloudflare gebruikt muisbewegingen om het verschil te verklaren. Automatiseringsbibliotheken kunnen willekeurige ruis, pauzes of gebogen lijnen toevoegen om rechtlijnige trajecten te voorkomen. Menselijk gedrag wordt echter beïnvloed door de draaiing van de pols, kleine correcties, fysiologische tremors en de tijd die iemand nodig heeft om te interpreteren wat er op het scherm gebeurt.

Een bot kan een ogenschijnlijk natuurlijke Bézier-curve maken bij één actie. Wat veel lastiger is, is het variëren van snelheid, richting, precisie en reactietijden gedurende een volledige sessie. Herhaling, te nauwkeurige klikpatronen of voortdurend terugkeren naar hetzelfde punt kunnen een herkenbaar patroon vormen.

Hoe werkt Precursor

FaseWat doet het systeem
InjactieCloudflare voegt een JavaScript-pakket toe aan de HTML-antwoorden
VerzamelingDe browser registreert interactiesignalen via lichte events
Temporair opslaanDe events worden gecomprimeerd en tijdelijk opgeslagen in het geheugen
VerzendingDe informatiestromen worden periodiek verzonden naar de rand van het netwerk
EvaluatieMeerdere analyzers kruisen de ontvangen signalen
IntegratieDe resultaten worden gebruikt om de sessiestatus bij te werken
ReactieDe bot-score, WAF en uitdagingen kunnen hierop reageren met die context

Het pakket wordt dynamisch gegenereerd, is obfusceerd en vereist niet dat de eigenaar van de website handmatig een derde bibliotheek invoegt. Als de HTML-antwoorden via Cloudflare gaan, voegt het platform de code toe voordat het aan de browser wordt geleverd.

Hiermee komt een operationeel voordeel: het product kan via het dashboard worden geactiveerd zonder de applicatie te wijzigen. Het hangt er echter van af dat de pagina via het Cloudflare-netwerk gaat en dat het script kan worden uitgevoerd.

Precursor dekt niet alle vormen van geautomatiseerd verkeer af. Een klant die direct API-aanroepen doet zonder HTML te laden of JavaScript uit te voeren, zal niet dezelfde signalen genereren. Bescherming blijft noodzakelijk met netwerkanalyses, snelheidslimieten, authenticatie, reputatiemetingen, WAF-regels en specifieke controles op misbruik.

Wat verandert voor Cloudflare-beheerders

De documentatie biedt twee werkingsmodi. Minimize Friction, de standaardinstelling, probeert de sessiestatus op de achtergrond te bepalen zonder een tussenpagina te tonen. Het vermindert onderbrekingen, maar Cloudflare erkent dat niet alle sessies volledig kunnen worden geverifieerd.

Maximize Security vereist een lichte uitdaging wanneer er nog geen geldige sessie is. Het biedt een striktere controle, maar kan voor de gebruiker merkbare pauzes veroorzaken. Cloudflare beveelt dit aan wanneer het belangrijker is dat alle sessies gegarandeerd worden geverifieerd.

Regels kunnen verschillende beleid toepassen afhankelijk van de zone. Een webshop kan de minder ingrijpende modus gebruiken voor de catalogus en een strengere controle voor /checkout. Andere organisaties kunnen inlogpagina’s en het aanmaken van accounts extra beveiligen.

De status wordt geïntegreerd met de cookie cf_clearance, die aangeeft dat een browser bepaalde verificaties heeft doorstaan. Precursor kan deze autorisatie verminderen of ongeldig maken, de gebruiker een nieuwe uitdaging geven en opnieuw evalueren tijdens de sessie. Een pagina verversen is niet genoeg om de gedragssporen onmiddellijk te wissen.

Het product vervangt ook niet Turnstile volledig. Turnstile voert controles uit op specifieke momenten, zoals bij formulieren of aankopen, terwijl Precursor de hele sessie monitort. De combinatie maakt dat een schijnbaar legitieme sessie kan worden herzien bij gedragsveranderingen.

Het vervangt wel JavaScript Detections, de vorige functie die een eenmalige controle in de browser deed. Cloudflare raadt aan deze uit te schakelen wanneer Precursor wordt ingeschakeld, om overlappende mechanismen te voorkomen.

Resultaten worden weergegeven in Security Analytics, waar het bedrijf overzichten biedt van volledige sessies. Teams kunnen inzicht krijgen in gebruikspatronen, waar afwijkingen ontstaan en welke sessies tekenen van automatisering vertonen.

Ook beïnvloedt de informatie de bot-score, een beoordeling van 1 tot 99: lage waarden duiden op een hogere kans op automatisering, hoge waarden wijzen op menselijk verkeer. Klanten kunnen deze score gebruiken in WAF-regels om aanvragen toe te laten, uit te dagen of te blokkeren. De gedetailleerde score wordt gereserveerd voor organisaties met Enterprise Bot Management.

Privacy en false positives worden de gevoeligste punten

Precursor introduceert continue telemetrieverzameling in de browser, waardoor privacy kritischer wordt en door bedrijven moet worden geëvalueerd voor activering.

Cloudflare beweert dat het niet de inhoud van getypte toetsen registreert, maar wel de tijden en het ritme. Signaleren worden slechts als geordende patronen beschouwd, niet gekoppeld aan accounts, login-gegevens of permanente profielen, en worden niet rechtstreeks aan de klant getoond in dashboards.

Dat vermindert de gevoeligheid van de gegevens, maar betekent niet dat de verzameling volledig onschadelijk is vanuit juridisch of privacy-oogpunt. Beheerders moeten weten welke gegevens worden verzonden, hoelang ze worden bewaard, waar ze worden verwerkt en welke documentatie vereist is op basis van de jurisdictie.

Zelfs de documentatie van Cloudflare vermeldt dat Bot Analysis gedrags- en biometrische signalen van Precursor gebruikt. Het bedrijf geeft niet duidelijk aan of “biometrisch” als interne technische categorie wordt gebruikt of met de juridische reikwijdte zoals die in de GDPR bestaat. Deze nuance verdient verduidelijking voordat het product wordt uitgerold in sterk gereguleerde sectoren.

Ook moeten false positives worden geëvalueerd. Niet iedereen gedraagt zich gelijk. Bewegingen kunnen variëren bij gebruik van een touchscreen, trackpad, hulptechnologieën, remote desktops of aangepaste apparaten. Een legitieme automatisering kan ook realistische pauzes, fouten en parcours leren simuleren. Het resultaat mag niet als een absolute bewijs worden gebruikt, maar als een signaal binnen een veiligheidsbeleid.

Volgens Cloudflare kan het beschikken over context gedurende de hele sessie de precisie verbeteren en het aantal uitdagingen voor legitieme gebruikers verminderen. Tot nu toe heeft het geen geautomatiseerde detecreertarieven, false positives of onafhankelijke vergelijkingen gepubliceerd om deze verbetering te kwantificeren.

Wat moet een bedrijf testen voordat ze het activeren

TestMotivatie
Muis, toetsenbord en touchscreen gebruikDetecteren van verschillen tussen apparaten
Schermlezers en hulptechnologieënVoorkomen van toegankelijkheidsknelpunten
Wachtwoordmanagers en autocompletieTesten van snelle formulieren
Remote desktops en vertragingen in het netwerkIdentificeren van patronen die kunstmatig kunnen lijken
Bedrijfsclients met scriptsUitsluiten van legitieme automatisering
Checkout en login pagina’sConversie- en verlatenheidsmetingen
Verschillende landen en browsersGedragsanalyse en naleving van wettelijke vereisten
Observeer-modus vóór blokkeringResultaten analyseren zonder verkeer te onderbreken

Automatiseringsdetectie blijft een race tussen aanvallers en verdedigingssystemen. Hoe meer waarde wordt toegekend aan bewegingen, pauzes en navigatie, hoe meer automatiseringsontwikkelaars zullen proberen die kenmerken na te bootsen.

Precursor verhoogt de vereisten omdat het niet meer volstaat een eenmalige controle te doorstaan. De bot moet een overtuigend gedrag behouden gedurende de gehele route, reageren op veranderingen en patronen vermijden. Dit is niet onmogelijk, maar vereist geavanceerdere browsers, meer resources en beter afgestemde gedragspatronen.

Cloudflare verplaatst hiermee de beveiliging van enkel HTTP-verzoeken naar de volledige gebruikerservaring. Deze uitbreiding helpt bij fraude, scraping, accountovername en agents die een browser besturen, al vraagt het ook meer aandacht voor privacy, toegankelijkheid en automatische besluitvorming.

Veelgestelde vragen

Wat is Cloudflare Precursor?
Een detectiesysteem dat signals van de browser gedurende een hele sessie analyseert om menselijk verkeer van bots en geautomatiseerde systemen te onderscheiden.

registreert het wat de gebruiker typt?
Cloudflare garandeert dat alleen de timing en het ritme van toetsenbordinvoer worden vastgelegd, niet de specifieke toetsen of inhoud.

Vervangt Precursor Turnstile?
Nee. Turnstile voert controles uit op specifieke momenten, zoals formulieren of aankopen, terwijl Precursor de hele sessie bewaakt. Het vervangt wel JavaScript Detections wanneer geactiveerd.

Is Precursor beschikbaar voor alle Cloudflare-klanten?
Precursor maakt deel uit van Enterprise Bot Management en wordt vanaf juli 2026 uitgerold. Het zal gratis zijn tot de algemene lancering, gepland later dat jaar.

vía: blog.cloudflare

Scroll naar boven