CAPTCHA 供應商購買指南 2025

乜嘢係 CAPTCHA？#

CAPTCHA（全自動區分電腦同人類嘅圖靈測試）係一種用嚟區分真人同自動程式／機械人嘅驗證系統。它會出啲對真人嚟講易過骨、對機器嚟講好難嘅任務。

例如，傳統 CAPTCHA 可能會顯示扭曲咗嘅字母或者數字，要用戶打返出嚟。利用人類圖案辨識能力，CAPTCHA 阻止大多數腳本同垃圾機械人濫用網上表單或服務。

CAPTCHA 點樣運作？#

傳統 CAPTCHA 靠啲好似認字解圖或者揀指定圖片嘅任務。扭曲圖案（例如有雜訊遮住嘅彎曲字母）可以難倒一般 OCR（光學字符識別）演算法。

現代 CAPTCHA 解決方案分咗幾大類：

• 互動式 CAPTCHA： 用家要主動解謎或者做特定操作。例子包括「我唔係機械人」核取格挑戰。打咗個勾之後，可能會要你揀晒所有有紅綠燈或商店門口嘅圖片、輸入顯示咗嘅字元、或者進行語音測試。要留意 Cloudflare Turnstile 就係，只要單純 click checkbox 已經夠確認人類身份，唔使進入複雜考驗。
• 非互動式 CAPTCHA： 唔會打擾用戶做謎題或者額外操作。例如 Cloudflare Turnstile 嘅非互動模式，訪客只會見到一個自動載入條細小 widget。會自動喺背景檢查，安靜地返回成功或者失敗結果。呢個方法特別著重用戶體驗。
• 隱形或被動 CAPTCHA： 完全喺背景運作，根本無可見驗證。例如 Google reCAPTCHA v3 靜靜地分析用戶行為（滑鼠動作、時間、cookies 等）去分配風險分數（0–1），用戶通常乜都唔會見，除非分數低得滯。

產品應唔應該加 CAPTCHA 保護？#

用 CAPTCHA 係安全同用戶體驗之間取捨。揀 CAPTCHA 服務時，主要考慮：

AI 可唔可以破解 CAPTCHA？#

CAPTCHA 對付基本 bot 有效，但有心機攻擊者有對策。高級腳本或者 AI bot 有時可以靠 OCR／圖像識別同機器學習破解部分 CAPTCHA。甚至有專門幫人破解 CAPTCHA 或 solver 服務（俗稱 bypass-as-a-service），攻擊者可以出錢叫真人或者專門 AI 大量解題。例如 Google 曾表示舊式純文字 CAPTCHA 俾 bot 破解成功率可以超過 99%。

但現代 非互動式同隱形 CAPTCHA，好似行為分析或密碼學背景驗證，更加能擋住 AI 攻擊。要留意而家 bot 流量好驚人：差唔多佔晒全網絡 51%，其中 37% 屬於惡意流量。所以就算唔完美，加一啲 CAPTCHA 或 bot 偵測都重要。

另外，攞多幾層 bot 保護都必要，例如裝置指紋技術（例如用 passkeys）、頻率限制、多重驗證（MFA）。

加咗 CAPTCHA 會唔會影響用戶體驗？#

任何 CAPTCHA 都會加啲阻力比用戶。研究數據話，約 66% 用戶一次過打啱 CAPTCHA，代表有唔少人會覺得煩或者索性唔 submit。好似影像拼圖好難、要重試好多次，甚至令轉換率跌。

為咗解決，現代 CAPTCHA 供應商會盡量減輕人手參與，包括：

• 只係針對高風險用戶自適應式提供驗證。
• 以唔阻用戶方法（滑鼠、手勢、時間等信號）代替文字謎題。
• 提供完全隱形、安全嘅 CAPTCHA。

Cloudflare 指出 Turnstile「消除咗繁瑣嘅 CAPTCHA 體驗」，真實用戶「唔會再蝕底蝕時間解奧數咁嘅拼圖」。實際應用，多數網站只會喺懷疑可疑行為時先彈出核取格或圖片挑戰，普通人可能乜都睇唔到。

CAPTCHA 阻唔阻止 AI agent 存取三方服務？#

而家越嚟越多 AI agent 問世，專門自動化執行動作、操作第三方服務。

好多專用 AI agent 係用標準協議連接三方 app 好似 OAuth 同 MCP（模型上下文協議）。比 user 授權代理，安全又平滑。

不過，有啲追求「大一統」嘅 AI agent 打算全面取代瀏覽器，從填表到登錄都要自動。好似 Manus 就想萬能自動操控瀏覽器，由執表到用戶認證。現實中，Manus 都極難突破現代高安全 CAPTCHA，例如 Cloudflare Turnstile 同 Google reCAPTCHA Enterprise，即使用戶想「pass」個 session 比真人都難搞。如果你要打造 AI agent，要細心設計驗證流程。單靠 browser 自動化模擬真人登入愈嚟愈行唔通，因為堅嘅 CAPTCHA 勁擋假人。

加 CAPTCHA 會唔會大幅加預算？#

CAPTCHA 服務有免費有收費。免費通常有限用量或基本功能。例如：

• Cloudflare Turnstile 免費，無限制用量。
• Google “reCAPTCHA Essentials” 免費，每月 10,000 次；再高或者要進階功能就要升級 Standard/Enterprise。
• hCaptcha 有免費「基本」層，但 Pro/Enterprise 要收錢（e.g. hCaptcha Pro 每 100K request 約 $99–$139/月）。

要記住睇清楚供應商計劃限制同收費，按你預計流量同轉換目標考慮。

CAPTCHA 實際應用場景#

CAPTCHA 通常會喺任何可能有 bot 滋擾嘅位用。常見場合包括：

• 驗證流程： 保護註冊、登入同找回密碼流程，防止機械人濫用。CAPTCHA 係對抗自動腳本攻擊第一道門檻。進一步，可以加 登入鎖定（防暴力破解密碼）同自動調整 MFA 風險（高危時額外驗證），提升安全性同時仍可保持順滑體驗。
• 表單提交： 防護公共表單（例如聯絡我們、意見、留言、評分）。無 CAPTCHA 仲要俾 spammer 洗版。
• 高價值動作： 防止網上投票、買飛、推廣或電商結帳被作弊。用 CAPTCHA 限制自動投票或者劏票黨（例如一人一票、一人一飛）。

針對呢啲關鍵位插入 CAPTCHA，可以有效減低自動虐用情況，同時令正常用戶運作無阻。

CAPTCHA 供應商比較#

眾多方案之中，Cloudflare Turnstile 而家最突出。免費、易整合又唔阻人，防 bot 能力強又唔會強迫真用戶解謎，同時「唔會攞用戶數據黎再賣廣告」，極度重視私隱。對大多數網站，Turnstile 係安全性、用戶體驗同成本最好平衡。

喺登入流程簡化 CAPTCHA 串接#

最簡單加 CAPTCHA 嘅方法就係用集成式身份平台。

Logto 係一個方便開發者嘅 IAM 解決方案，支援頂尖供應商如 Google reCAPTCHA Enterprise 同 Cloudflare Turnstile，幾 click 就加好 CAPTCHA。

用 Logto，你啲團隊可以保障整個用戶認證流程，無需各種複雜實現，包括註冊、登入、賬號恢復、單點登入、MFA、多租戶管理等。想知更多 Logto CAPTCHA 或者聯絡團隊探討更多 CAPTCHA 供應商方案。