Google sagsøger SerpAPI: hvad SearchGuard afslører om bot-detektion
Retssagen der afslørede Googles anti-bot hemmeligheder
Den 19. december 2025 anlagde Google en retssag mod Texas-baserede SerpAPI LLC med påstand om, at virksomheden omgik SearchGuard for at scrape "hundredvis af millioner" af daglige forespørgsler fra Google Search. Det juridiske grundlag er DMCA Section 1201 - anti-omgåelsesbestemmelsen i ophavsretsloven.
Sikkerhedsforskere har nu fuldt afkrypteret version 41 af BotGuard-scriptet, hvilket giver et hidtil uset indblik i, hvordan Google skelner menneskelige besøgende fra automatiserede scrapere.
Hvad er SearchGuard?
SearchGuard er det interne navn for Googles BotGuard-system, når det anvendes på Google Search. BotGuard (internt kaldet "Web Application Attestation") har beskyttet Google-tjenester siden 2013 - YouTube, reCAPTCHA v3, Google Maps og mere.
I modsætning til traditionelle CAPTCHAs opererer SearchGuard helt usynligt. Det indsamler kontinuerligt adfærdssignaler og analyserer dem ved hjælp af statistiske algoritmer - alt sammen uden brugerens viden.
Koden kører inde i en bytecode virtuel maskine med 512 registre, specifikt designet til at modstå reverse engineering.
Hvordan Google opdager bots
Systemet sporer fire kategorier af adfærd i realtid:
Musebevægelser
Mennesker bevæger ikke markører i lige linjer. Vi følger naturlige kurver med acceleration og deceleration.
Google sporer:
- Bane (stiform)
- Hastighed
- Acceleration (hastighedsændringer)
- Jitter (mikro-rystelser)
Detektionsgrænse: Musehastighedsvarians under 10 markeres som bot-adfærd. Normal menneskelig varians ligger mellem 50-500.
Tastaturytme
Alle har en unik skrivesignatur. Google måler:
- Inter-tast intervaller
- Tastetryk varighed
- Fejlmønstre
- Pauser efter tegnsætning
Detektionsgrænse: Tastetryk varighedsvarians under 5ms indikerer automatisering. Normal menneskelig skrivning viser 20-50ms varians.
Scroll-adfærd
Naturlig scrolling har variabel hastighed, retningsændringer og momentum-baseret deceleration. Programmatisk scrolling er ofte for glat eller perfekt ensartet.
Detektionsgrænse: Scroll delta varians under 5px antyder bot-aktivitet. Mennesker viser typisk 20-100px varians.
Timing jitter
Dette er det afgørende signal. Mennesker er inkonsekvente.
Google bruger Welfords algoritme til at beregne varians i realtid med konstant hukommelsesforbrug. Hvis dine handlingsintervaller har næsten nul varians, bliver du markeret.
Detektionsgrænse: Begivenhedstal over 200 per sekund indikerer automatisering. Normal menneskelig interaktion genererer 10-50 begivenheder per sekund.
De 100+ DOM-elementer Google overvåger
Ud over adfærd fingeraftrykker SearchGuard dit browsermiljø ved at overvåge over 100 HTML-elementer:
- Høj-prioritets elementer: BUTTON, INPUT (bots målretter ofte interaktive elementer)
- Struktur: ARTICLE, SECTION, NAV, ASIDE, HEADER, FOOTER, MAIN, DIV
- Interaktive: DETAILS, SUMMARY, MENU, DIALOG
Det indsamler også omfattende browser- og enhedsdata:
- Navigator egenskaber (userAgent, platform, hardwareConcurrency, deviceMemory)
- Skærmegenskaber (dimensioner, colorDepth, devicePixelRatio)
- Performance timing præcision
- Synlighedsstatus (document.hidden, hasFocus())
WebDriver detektion
Scriptet tjekker specifikt for automatiseringssignaturer:
navigator.webdriver(true hvis automatiseret)window.chrome.runtime(fraværende i headless mode)- ChromeDriver signaturer (
$cdc_præfikser) - Puppeteer markører (
$chrome_asyncScriptInfo) - Selenium indikatorer (
__selenium_unwrapped)
Hvorfor omgåelser bliver forældede på minutter
Scriptet genererer krypterede tokens ved hjælp af en ARX cipher (Addition-Rotation-XOR) - lignende Speck, en letvægts blokcipher udgivet af NSA i 2013.
Den kritiske opdagelse: den magiske konstant roterer. Den kryptografiske konstant indlejret i cipheren ændres med hver script-rotation.
Observerede værdier fra sikkerhedsanalyse:
- Timestamp 16:04:21: Konstant = 1426
- Timestamp 16:24:06: Konstant = 3328
Scriptet serveres fra URLs med integritets-hashes. Når hashen ændres, downloader hver klient en ny version med nye kryptografiske parametre.
Selv hvis du fuldt reverse-engineer systemet, bliver din implementering ugyldig ved næste opdatering.
OpenAI forbindelsen
SerpAPI er ikke bare et hvilket som helst scraping-firma. OpenAI har delvist brugt Google søgeresultater scrapede af SerpAPI til at drive ChatGPTs realtidssvar. SerpAPI listede OpenAI som kunde på deres hjemmeside så sent som maj 2024.
Google afslog OpenAIs direkte anmodning om adgang til deres søgeindeks i 2024. Alligevel havde ChatGPT stadig brug for friske søgedata.
Google angriber ikke OpenAI direkte - det målretter et nøgleled i forsyningskæden, der fodrer deres primære AI-konkurrent.
Det større billede for SERP-scraping
Denne retssag følger et mønster af stramning af adgang:
- Januar 2025: Google udrullede SearchGuard og ødelagde næsten enhver SERP-scraper fra den ene dag til den anden
- September 2025: Google fjernede
num=100parameteren og tvang scrapere til at lave 10x flere forespørgsler
Den kombinerede effekt: traditionelle scraping-tilgange bliver stadig sværere og dyrere at vedligeholde.
Hvis SearchGuard kvalificerer sig som en gyldig "teknologisk beskyttelsesforanstaltning" under DMCA, kunne enhver platform implementere lignende systemer med juridisk kraft.
Hvad dette betyder for SEO-værktøjer
For alle der bruger værktøjer, der scraper SERPs:
- Højere omkostninger: Flere forespørgsler nødvendige, mere sofistikeret infrastruktur påkrævet
- Juridisk risiko: Tredjeparts scrapere kan stå over for lignende retssager
- Pålidelighedsproblemer: Omgåelser kan blive forældede inden for minutter
Budskabet er klart: den gamle scraping-drejebog er forbi.
Officielle APIs forbliver den stabile vej
Googles position er effektivt: "Vil du have vores data? Gå gennem officielle kanaler."
For SEO-professionelle og udviklere, der har brug for pålidelig, konsekvent adgang til søgedata, forbliver brugen af officielle APIs - eller API-udbydere med ordentlig infrastruktur - den mest bæredygtige tilgang.
Hos Autom fortsætter vi med at overvåge disse udviklinger og tilpasse vores tjenester i overensstemmelse hermed. Landskabet ændrer sig, men behovet for søgedata forsvinder ikke.