Google
|
da Autom Team

Google fa causa a SerpAPI: cosa rivela SearchGuard sul rilevamento dei bot

La causa che ha esposto i segreti anti-bot di Google

Il 19 dicembre 2025, Google ha intentato una causa contro SerpAPI LLC, con sede in Texas, sostenendo che l'azienda ha aggirato SearchGuard per fare scraping di "centinaia di milioni" di query giornaliere da Google Search. La base legale è la DMCA Sezione 1201 - la disposizione anti-elusione della legge sul copyright.

I ricercatori di sicurezza hanno completamente decifrato la versione 41 dello script BotGuard, fornendo una visione senza precedenti di come Google distingue i visitatori umani dagli scraper automatizzati.

Cos'è SearchGuard?

SearchGuard è il nome interno del sistema BotGuard di Google quando applicato a Google Search. BotGuard (chiamato internamente "Web Application Attestation") protegge i servizi Google dal 2013 - YouTube, reCAPTCHA v3, Google Maps e altro.

A differenza dei CAPTCHA tradizionali, SearchGuard opera in modo invisibile. Raccoglie continuamente segnali comportamentali e li analizza utilizzando algoritmi statistici - tutto senza che l'utente lo sappia.

Il codice viene eseguito all'interno di una macchina virtuale bytecode con 512 registri, specificamente progettata per resistere al reverse engineering.

Come Google rileva i bot

Il sistema traccia quattro categorie di comportamento in tempo reale:

Movimenti del mouse

Gli umani non muovono i cursori in linea retta. Seguiamo curve naturali con accelerazione e decelerazione.

Google traccia:

  • Traiettoria (forma del percorso)
  • Velocità
  • Accelerazione (cambiamenti di velocità)
  • Jitter (micro-tremori)

Soglia di rilevamento: Una varianza della velocità del mouse inferiore a 10 viene segnalata come comportamento bot. La varianza umana normale è tra 50-500.

Ritmo della tastiera

Ognuno ha una firma di digitazione unica. Google misura:

  • Intervalli tra i tasti
  • Durata della pressione dei tasti
  • Pattern di errore
  • Pause dopo la punteggiatura

Soglia di rilevamento: Una varianza della durata della pressione inferiore a 5ms indica automazione. La digitazione umana normale mostra una varianza di 20-50ms.

Comportamento di scorrimento

Lo scorrimento naturale ha velocità variabile, cambi di direzione e decelerazione basata sull'inerzia. Lo scorrimento programmatico è spesso troppo fluido o perfettamente uniforme.

Soglia di rilevamento: Una varianza del delta di scorrimento inferiore a 5px suggerisce attività bot. Gli umani tipicamente mostrano una varianza di 20-100px.

Jitter temporale

Questo è il segnale decisivo. Gli umani sono inconsistenti.

Google usa l'algoritmo di Welford per calcolare la varianza in tempo reale con uso di memoria costante. Se i tuoi intervalli di azione hanno varianza prossima allo zero, vieni segnalato.

Soglia di rilevamento: Conteggi di eventi superiori a 200 al secondo indicano automazione. L'interazione umana normale genera 10-50 eventi al secondo.

I 100+ elementi DOM monitorati da Google

Oltre al comportamento, SearchGuard prende l'impronta del tuo ambiente browser monitorando oltre 100 elementi HTML:

  • Elementi ad alta priorità: BUTTON, INPUT (i bot spesso puntano agli elementi interattivi)
  • Struttura: ARTICLE, SECTION, NAV, ASIDE, HEADER, FOOTER, MAIN, DIV
  • Interattivi: DETAILS, SUMMARY, MENU, DIALOG

Raccoglie anche dati estesi su browser e dispositivo:

  • Proprietà Navigator (userAgent, platform, hardwareConcurrency, deviceMemory)
  • Proprietà schermo (dimensioni, colorDepth, devicePixelRatio)
  • Precisione del timing delle performance
  • Stato di visibilità (document.hidden, hasFocus())

Rilevamento WebDriver

Lo script verifica specificamente le firme di automazione:

  • navigator.webdriver (true se automatizzato)
  • window.chrome.runtime (assente in modalità headless)
  • Firme ChromeDriver (prefissi $cdc_)
  • Marcatori Puppeteer ($chrome_asyncScriptInfo)
  • Indicatori Selenium (__selenium_unwrapped)

Perché i bypass diventano obsoleti in pochi minuti

Lo script genera token crittografati usando un cifrario ARX (Addition-Rotation-XOR) - simile a Speck, un cifrario a blocchi leggero rilasciato dalla NSA nel 2013.

La scoperta critica: la costante magica ruota. La costante crittografica incorporata nel cifrario cambia con ogni rotazione dello script.

Valori osservati dall'analisi di sicurezza:

  • Timestamp 16:04:21: Costante = 1426
  • Timestamp 16:24:06: Costante = 3328

Lo script viene servito da URL con hash di integrità. Quando l'hash cambia, ogni client scarica una nuova versione con nuovi parametri crittografici.

Anche se fai il reverse engineering completo del sistema, la tua implementazione diventa invalida con il prossimo aggiornamento.

La connessione con OpenAI

SerpAPI non è una qualsiasi azienda di scraping. OpenAI ha parzialmente utilizzato risultati di ricerca Google scrapeati da SerpAPI per alimentare le risposte in tempo reale di ChatGPT. SerpAPI elencava OpenAI come cliente sul suo sito web fino a maggio 2024.

Google ha rifiutato la richiesta diretta di OpenAI di accedere al suo indice di ricerca nel 2024. Eppure ChatGPT aveva ancora bisogno di dati di ricerca freschi.

Google non sta attaccando OpenAI direttamente - sta prendendo di mira un anello chiave nella catena di fornitura che alimenta il suo principale concorrente AI.

Il quadro generale per lo scraping SERP

Questa causa segue un pattern di restrizione dell'accesso:

  1. Gennaio 2025: Google ha distribuito SearchGuard, rompendo quasi ogni scraper SERP dall'oggi al domani
  2. Settembre 2025: Google ha rimosso il parametro num=100, costringendo gli scraper a fare 10 volte più richieste

L'effetto combinato: gli approcci di scraping tradizionali sono sempre più difficili e costosi da mantenere.

Se SearchGuard si qualifica come una valida "misura di protezione tecnologica" sotto il DMCA, ogni piattaforma potrebbe distribuire sistemi simili con forza legale.

Cosa significa per gli strumenti SEO

Per chiunque utilizzi strumenti che fanno scraping delle SERP:

  • Costi più alti: Più richieste necessarie, infrastruttura più sofisticata richiesta
  • Rischio legale: Gli scraper di terze parti potrebbero affrontare cause simili
  • Problemi di affidabilità: I bypass possono diventare obsoleti in pochi minuti

Il messaggio è chiaro: il vecchio playbook dello scraping è finito.

Le API ufficiali rimangono la via stabile

La posizione di Google è effettivamente: "Vuoi i nostri dati? Passa attraverso i canali ufficiali."

Per i professionisti SEO e gli sviluppatori che hanno bisogno di accesso affidabile e coerente ai dati di ricerca, utilizzare API ufficiali - o provider di API con infrastruttura adeguata - rimane l'approccio più sostenibile.

In Autom, continuiamo a monitorare questi sviluppi e ad adattare i nostri servizi di conseguenza. Il panorama sta cambiando, ma il bisogno di dati di ricerca non scomparirà.

Leggi anche

Nuovo sito web Autom ridisegnato

Announcement

Nuovo sito web per Autom

Team Autom
|
Google Search testa la rimozione del parametro 100 risultati per pagina

Google

Google sta testando la rimozione del parametro 100 risultati per pagina

Team Autom
|
SerpAPI vs Serper vs Autom: Best SERP API in 2026

Google

SerpAPI vs Serper vs Autom: Best SERP API in 2026

Autom Team
|
How to Scrape Google Autocomplete using n8n & Autom

Google

How to Scrape Google Autocomplete using n8n & Autom

Autom Team
|

SERP API

Discover why Autom is the preferred API provider for developers.

Inizia il tuo scraping SERPVedi i prezzi