Google
|
przez Autom Team

Google pozywa SerpAPI: co SearchGuard ujawnia o wykrywaniu botów

Pozew, który ujawnił sekrety anty-botowe Google

19 grudnia 2025 roku Google złożyło pozew przeciwko texańskiej firmie SerpAPI LLC, zarzucając jej obchodzenie SearchGuard w celu scrapowania "setek milionów" codziennych zapytań z Google Search. Podstawą prawną jest DMCA Sekcja 1201 - przepis anty-obchodzeniowy prawa autorskiego.

Badacze bezpieczeństwa w pełni odszyfrowali wersję 41 skryptu BotGuard, zapewniając bezprecedensowy wgląd w to, jak Google rozróżnia ludzkich użytkowników od automatycznych scraperów.

Czym jest SearchGuard?

SearchGuard to wewnętrzna nazwa systemu BotGuard Google, gdy jest stosowany do Google Search. BotGuard (wewnętrznie nazywany "Web Application Attestation") chroni usługi Google od 2013 roku - YouTube, reCAPTCHA v3, Google Maps i więcej.

W przeciwieństwie do tradycyjnych CAPTCHA, SearchGuard działa całkowicie niewidocznie. Ciągle zbiera sygnały behawioralne i analizuje je przy użyciu algorytmów statystycznych - wszystko bez wiedzy użytkownika.

Kod działa wewnątrz maszyny wirtualnej bytecode z 512 rejestrami, specjalnie zaprojektowanej do odporności na inżynierię wsteczną.

Jak Google wykrywa boty

System śledzi cztery kategorie zachowań w czasie rzeczywistym:

Ruchy myszy

Ludzie nie poruszają kursorami w prostych liniach. Podążamy za naturalnymi krzywymi z przyspieszeniem i hamowaniem.

Google śledzi:

  • Trajektorię (kształt ścieżki)
  • Prędkość
  • Przyspieszenie (zmiany prędkości)
  • Jitter (mikro-drżenia)

Próg wykrywania: Wariancja prędkości myszy poniżej 10 jest oznaczana jako zachowanie bota. Normalna ludzka wariancja wynosi 50-500.

Rytm klawiatury

Każdy ma unikalny podpis pisania. Google mierzy:

  • Interwały między klawiszami
  • Czas trwania naciśnięcia klawisza
  • Wzorce błędów
  • Pauzy po interpunkcji

Próg wykrywania: Wariancja czasu trwania naciśnięcia poniżej 5ms wskazuje na automatyzację. Normalne ludzkie pisanie pokazuje wariancję 20-50ms.

Zachowanie przewijania

Naturalne przewijanie ma zmienną prędkość, zmiany kierunku i hamowanie oparte na pędzie. Programatyczne przewijanie jest często zbyt gładkie lub idealnie równomierne.

Próg wykrywania: Wariancja delta przewijania poniżej 5px sugeruje aktywność bota. Ludzie typowo pokazują wariancję 20-100px.

Jitter czasowy

To jest decydujący sygnał. Ludzie są niekonsekwentni.

Google używa algorytmu Welforda do obliczania wariancji w czasie rzeczywistym przy stałym użyciu pamięci. Jeśli twoje interwały działań mają wariancję bliską zeru, zostajesz oznaczony.

Próg wykrywania: Liczba zdarzeń przekraczająca 200 na sekundę wskazuje na automatyzację. Normalna ludzka interakcja generuje 10-50 zdarzeń na sekundę.

Ponad 100 elementów DOM monitorowanych przez Google

Poza zachowaniem, SearchGuard tworzy odcisk palca środowiska przeglądarki monitorując ponad 100 elementów HTML:

  • Elementy wysokiego priorytetu: BUTTON, INPUT (boty często celują w elementy interaktywne)
  • Struktura: ARTICLE, SECTION, NAV, ASIDE, HEADER, FOOTER, MAIN, DIV
  • Interaktywne: DETAILS, SUMMARY, MENU, DIALOG

Zbiera również rozszerzone dane przeglądarki i urządzenia:

  • Właściwości Navigator (userAgent, platform, hardwareConcurrency, deviceMemory)
  • Właściwości ekranu (wymiary, colorDepth, devicePixelRatio)
  • Precyzja pomiaru czasu wydajności
  • Stan widoczności (document.hidden, hasFocus())

Wykrywanie WebDriver

Skrypt specjalnie sprawdza sygnatury automatyzacji:

  • navigator.webdriver (true jeśli zautomatyzowany)
  • window.chrome.runtime (nieobecny w trybie headless)
  • Sygnatury ChromeDriver (prefiksy $cdc_)
  • Markery Puppeteer ($chrome_asyncScriptInfo)
  • Wskaźniki Selenium (__selenium_unwrapped)

Dlaczego obejścia stają się przestarzałe w ciągu minut

Skrypt generuje zaszyfrowane tokeny przy użyciu szyfru ARX (Addition-Rotation-XOR) - podobnego do Speck, lekkiego szyfru blokowego wydanego przez NSA w 2013 roku.

Kluczowe odkrycie: magiczna stała się obraca. Stała kryptograficzna osadzona w szyfrze zmienia się z każdą rotacją skryptu.

Obserwowane wartości z analizy bezpieczeństwa:

  • Timestamp 16:04:21: Stała = 1426
  • Timestamp 16:24:06: Stała = 3328

Skrypt jest serwowany z URL z hashami integralności. Gdy hash się zmienia, każdy klient pobiera nową wersję z nowymi parametrami kryptograficznymi.

Nawet jeśli w pełni przeprowadzisz inżynierię wsteczną systemu, twoja implementacja staje się nieważna przy następnej aktualizacji.

Połączenie z OpenAI

SerpAPI to nie byle jaka firma scrapingowa. OpenAI częściowo używało wyników wyszukiwania Google scrapowanych przez SerpAPI do zasilania odpowiedzi ChatGPT w czasie rzeczywistym. SerpAPI wymieniało OpenAI jako klienta na swojej stronie jeszcze w maju 2024.

Google odrzuciło bezpośrednią prośbę OpenAI o dostęp do swojego indeksu wyszukiwania w 2024 roku. Jednak ChatGPT nadal potrzebował świeżych danych wyszukiwania.

Google nie atakuje OpenAI bezpośrednio - celuje w kluczowe ogniwo łańcucha dostaw, które zasila jego głównego konkurenta AI.

Szerszy obraz dla scrapowania SERP

Ten pozew wpisuje się w schemat zaostrzania dostępu:

  1. Styczeń 2025: Google wdrożyło SearchGuard, psując prawie każdy scraper SERP z dnia na dzień
  2. Wrzesień 2025: Google usunęło parametr num=100, zmuszając scrapery do wykonywania 10x więcej żądań

Połączony efekt: tradycyjne podejścia do scrapowania stają się coraz trudniejsze i droższe do utrzymania.

Jeśli SearchGuard kwalifikuje się jako ważny "technologiczny środek ochrony" zgodnie z DMCA, każda platforma może wdrożyć podobne systemy z mocą prawną.

Co to oznacza dla narzędzi SEO

Dla każdego, kto używa narzędzi scrapujących SERPy:

  • Wyższe koszty: Więcej żądań potrzebnych, wymagana bardziej zaawansowana infrastruktura
  • Ryzyko prawne: Zewnętrzne scrapery mogą stanąć w obliczu podobnych pozwów
  • Problemy z niezawodnością: Obejścia mogą stać się przestarzałe w ciągu minut

Przekaz jest jasny: stary podręcznik scrapingu się skończył.

Oficjalne API pozostają stabilną drogą

Stanowisko Google jest skutecznie takie: "Chcesz nasze dane? Przejdź przez oficjalne kanały."

Dla profesjonalistów SEO i programistów, którzy potrzebują niezawodnego, spójnego dostępu do danych wyszukiwania, korzystanie z oficjalnych API - lub dostawców API z odpowiednią infrastrukturą - pozostaje najbardziej zrównoważonym podejściem.

W Autom nadal monitorujemy te zmiany i odpowiednio dostosowujemy nasze usługi. Krajobraz się zmienia, ale potrzeba danych wyszukiwania nie zniknie.

Przeczytaj również

Wyszukiwarka Google testuje usunięcie parametru 100 wyników na stronę

Google

Google testuje usunięcie parametru 100 wyników na stronę

Zespół Autom
|
Google usuwa parametr 100 wyników na stronę

Google

Google zabił num=100

Zespół Autom
|
How to Scrape Google Autocomplete using n8n & Autom

Google

How to Scrape Google Autocomplete using n8n & Autom

Autom Team
|
Nowa strona internetowa Autom przebudowana

Announcement

Nowa strona internetowa dla Autom

Zespół Autom
|

SERP API

Discover why Autom is the preferred API provider for developers.

Wdróż swój scraper SERPZobacz cennik