Google stämmer SerpAPI: vad SearchGuard avslöjar om bot-detektion
Stämningen som avslöjade Googles anti-bot-hemligheter
Den 19 december 2025 lämnade Google in en stämning mot Texas-baserade SerpAPI LLC, med påståendet att företaget kringgick SearchGuard för att skrapa "hundratals miljoner" dagliga sökningar från Google Search. Den rättsliga grunden är DMCA Section 1201 - anti-kringgångsbestämmelsen i upphovsrättslagen.
Säkerhetsforskare har nu fullständigt dekrypterat version 41 av BotGuard-skriptet, vilket ger en oöverträffad inblick i hur Google skiljer mänskliga besökare från automatiserade skrapare.
Vad är SearchGuard?
SearchGuard är det interna namnet för Googles BotGuard-system när det tillämpas på Google Search. BotGuard (internt kallat "Web Application Attestation") har skyddat Google-tjänster sedan 2013 - YouTube, reCAPTCHA v3, Google Maps och mer.
Till skillnad från traditionella CAPTCHAs fungerar SearchGuard helt osynligt. Det samlar kontinuerligt beteendesignaler och analyserar dem med statistiska algoritmer - allt utan användarens vetskap.
Koden körs inuti en bytekod virtuell maskin med 512 register, specifikt designad för att motstå reverse engineering.
Hur Google upptäcker botar
Systemet spårar fyra kategorier av beteende i realtid:
Musrörelser
Människor rör inte markörer i raka linjer. Vi följer naturliga kurvor med acceleration och retardation.
Google spårar:
- Bana (vägform)
- Hastighet
- Acceleration (hastighetsförändringar)
- Jitter (mikro-skakningar)
Detektionströskel: Mushastighetsvariation under 10 flaggas som bot-beteende. Normal mänsklig variation ligger mellan 50-500.
Tangentbordsrytm
Alla har en unik skrivsignatur. Google mäter:
- Inter-tangent-intervaller
- Tangentryckslängd
- Felmönster
- Pauser efter skiljetecken
Detektionströskel: Tangentryckslängdsvariation under 5ms indikerar automatisering. Normal mänsklig skrivning visar 20-50ms variation.
Scrollbeteende
Naturlig scrollning har varierande hastighet, riktningsändringar och momentumbaserad retardation. Programmatisk scrollning är ofta för jämn eller perfekt uniform.
Detektionströskel: Scroll delta variation under 5px tyder på bot-aktivitet. Människor visar typiskt 20-100px variation.
Timing-jitter
Detta är det avgörande signalet. Människor är inkonsekventa.
Google använder Welfords algoritm för att beräkna variation i realtid med konstant minnesanvändning. Om dina handlingsintervaller har nära noll variation blir du flaggad.
Detektionströskel: Händelseantal över 200 per sekund indikerar automatisering. Normal mänsklig interaktion genererar 10-50 händelser per sekund.
De 100+ DOM-element som Google övervakar
Utöver beteende fingeravtryckar SearchGuard din webbläsarmiljö genom att övervaka över 100 HTML-element:
- Högprioriterade element: BUTTON, INPUT (botar riktar ofta in sig på interaktiva element)
- Struktur: ARTICLE, SECTION, NAV, ASIDE, HEADER, FOOTER, MAIN, DIV
- Interaktiva: DETAILS, SUMMARY, MENU, DIALOG
Det samlar också omfattande webbläsar- och enhetsdata:
- Navigator-egenskaper (userAgent, platform, hardwareConcurrency, deviceMemory)
- Skärmegenskaper (dimensioner, colorDepth, devicePixelRatio)
- Performance timing-precision
- Synlighetsstatus (document.hidden, hasFocus())
WebDriver-detektion
Skriptet kontrollerar specifikt efter automatiseringssignaturer:
navigator.webdriver(true om automatiserad)window.chrome.runtime(frånvarande i headless-läge)- ChromeDriver-signaturer (
$cdc_-prefix) - Puppeteer-markörer (
$chrome_asyncScriptInfo) - Selenium-indikatorer (
__selenium_unwrapped)
Varför kringgångar blir föråldrade på minuter
Skriptet genererar krypterade tokens med en ARX-cipher (Addition-Rotation-XOR) - liknande Speck, ett lättviktsblockchiffer släppt av NSA 2013.
Den kritiska upptäckten: den magiska konstanten roterar. Den kryptografiska konstanten inbäddad i chiffret ändras med varje skriptrotation.
Observerade värden från säkerhetsanalys:
- Tidsstämpel 16:04:21: Konstant = 1426
- Tidsstämpel 16:24:06: Konstant = 3328
Skriptet serveras från URL:er med integritetshashar. När hashen ändras laddar varje klient ner en ny version med nya kryptografiska parametrar.
Även om du fullständigt reverse-engineerar systemet blir din implementation ogiltig vid nästa uppdatering.
OpenAI-kopplingen
SerpAPI är inte vilket skrapningsföretag som helst. OpenAI har delvis använt Google-sökresultat skrapade av SerpAPI för att driva ChatGPT:s realtidssvar. SerpAPI listade OpenAI som kund på sin webbplats så sent som i maj 2024.
Google avslog OpenAI:s direkta begäran om tillgång till deras sökindex 2024. Ändå behövde ChatGPT fortfarande färsk sökdata.
Google attackerar inte OpenAI direkt - det riktar in sig på en nyckellänk i leveranskedjan som försörjer deras huvudsakliga AI-konkurrent.
Den större bilden för SERP-skrapning
Denna stämning följer ett mönster av åtstramad tillgång:
- Januari 2025: Google implementerade SearchGuard och bröt nästan varje SERP-skrapare över en natt
- September 2025: Google tog bort
num=100-parametern och tvingade skrapare att göra 10x fler förfrågningar
Den kombinerade effekten: traditionella skrapningsmetoder blir allt svårare och dyrare att underhålla.
Om SearchGuard kvalificerar sig som en giltig "teknologisk skyddsåtgärd" enligt DMCA kan varje plattform implementera liknande system med rättslig kraft.
Vad detta betyder för SEO-verktyg
För alla som använder verktyg som skrapar SERPs:
- Högre kostnader: Fler förfrågningar behövs, mer sofistikerad infrastruktur krävs
- Juridisk risk: Tredjepartsskrapare kan möta liknande stämningar
- Tillförlitlighetsproblem: Kringgångar kan bli föråldrade inom minuter
Budskapet är tydligt: den gamla skrapnings-spelboken är över.
Officiella API:er förblir den stabila vägen
Googles position är i praktiken: "Vill du ha vår data? Gå genom officiella kanaler."
För SEO-proffs och utvecklare som behöver pålitlig, konsekvent tillgång till sökdata förblir användning av officiella API:er - eller API-leverantörer med lämplig infrastruktur - det mest hållbara tillvägagångssättet.
På Autom fortsätter vi att övervaka dessa utvecklingar och anpassa våra tjänster därefter. Landskapet förändras, men behovet av sökdata kommer inte att försvinna.