繁體中文（香港）

Captcha
安全

CAPTCHA 供應商購買指南 2025

了解現代 CAPTCHA 點樣運作。從功能、價格同整合建議比較 Google reCAPTCHA、Cloudflare Turnstiles 及其他供應商。

Ran

Product & Design

7/16/2025

Stop wasting weeks on user auth

Launch secure apps faster with Logto. Integrate user auth in minutes, and focus on your core product.

Get started

乜嘢係 CAPTCHA？

CAPTCHA（全自動區分電腦同人類嘅圖靈測試）係一種用嚟區分真人同自動程式／機械人嘅驗證系統。它會出啲對真人嚟講易過骨、對機器嚟講好難嘅任務。

例如，傳統 CAPTCHA 可能會顯示扭曲咗嘅字母或者數字，要用戶打返出嚟。利用人類圖案辨識能力，CAPTCHA 阻止大多數腳本同垃圾機械人濫用網上表單或服務。

CAPTCHA 點樣運作？

傳統 CAPTCHA 靠啲好似認字解圖或者揀指定圖片嘅任務。扭曲圖案（例如有雜訊遮住嘅彎曲字母）可以難倒一般 OCR（光學字符識別）演算法。

現代 CAPTCHA 解決方案分咗幾大類：

互動式 CAPTCHA： 用家要主動解謎或者做特定操作。例子包括「我唔係機械人」核取格挑戰。打咗個勾之後，可能會要你揀晒所有有紅綠燈或商店門口嘅圖片、輸入顯示咗嘅字元、或者進行語音測試。要留意 Cloudflare Turnstile 就係，只要單純 click checkbox 已經夠確認人類身份，唔使進入複雜考驗。
非互動式 CAPTCHA： 唔會打擾用戶做謎題或者額外操作。例如 Cloudflare Turnstile 嘅非互動模式，訪客只會見到一個自動載入條細小 widget。會自動喺背景檢查，安靜地返回成功或者失敗結果。呢個方法特別著重用戶體驗。
隱形或被動 CAPTCHA： 完全喺背景運作，根本無可見驗證。例如 Google reCAPTCHA v3 靜靜地分析用戶行為（滑鼠動作、時間、cookies 等）去分配風險分數（0–1），用戶通常乜都唔會見，除非分數低得滯。

產品應唔應該加 CAPTCHA 保護？

用 CAPTCHA 係安全同用戶體驗之間取捨。揀 CAPTCHA 服務時，主要考慮：

AI 可唔可以破解 CAPTCHA？

CAPTCHA 對付基本 bot 有效，但有心機攻擊者有對策。高級腳本或者 AI bot 有時可以靠 OCR／圖像識別同機器學習破解部分 CAPTCHA。甚至有專門幫人破解 CAPTCHA 或 solver 服務（俗稱 bypass-as-a-service），攻擊者可以出錢叫真人或者專門 AI 大量解題。例如 Google 曾表示舊式純文字 CAPTCHA 俾 bot 破解成功率可以超過 99%。

但現代 非互動式同隱形 CAPTCHA，好似行為分析或密碼學背景驗證，更加能擋住 AI 攻擊。要留意而家 bot 流量好驚人：差唔多佔晒全網絡 51%，其中 37% 屬於惡意流量。所以就算唔完美，加一啲 CAPTCHA 或 bot 偵測都重要。

另外，攞多幾層 bot 保護都必要，例如裝置指紋技術（例如用 passkeys）、頻率限制、多重驗證（MFA）。

加咗 CAPTCHA 會唔會影響用戶體驗？

任何 CAPTCHA 都會加啲阻力比用戶。研究數據話，約 66% 用戶一次過打啱 CAPTCHA，代表有唔少人會覺得煩或者索性唔 submit。好似影像拼圖好難、要重試好多次，甚至令轉換率跌。

為咗解決，現代 CAPTCHA 供應商會盡量減輕人手參與，包括：

只係針對高風險用戶自適應式提供驗證。
以唔阻用戶方法（滑鼠、手勢、時間等信號）代替文字謎題。
提供完全隱形、安全嘅 CAPTCHA。

Cloudflare 指出 Turnstile「消除咗繁瑣嘅 CAPTCHA 體驗」，真實用戶「唔會再蝕底蝕時間解奧數咁嘅拼圖」。實際應用，多數網站只會喺懷疑可疑行為時先彈出核取格或圖片挑戰，普通人可能乜都睇唔到。

CAPTCHA 阻唔阻止 AI agent 存取三方服務？

而家越嚟越多 AI agent 問世，專門自動化執行動作、操作第三方服務。

好多專用 AI agent 係用標準協議連接三方 app 好似 OAuth 同 MCP（模型上下文協議）。比 user 授權代理，安全又平滑。

不過，有啲追求「大一統」嘅 AI agent 打算全面取代瀏覽器，從填表到登錄都要自動。好似 Manus 就想萬能自動操控瀏覽器，由執表到用戶認證。現實中，Manus 都極難突破現代高安全 CAPTCHA，例如 Cloudflare Turnstile 同 Google reCAPTCHA Enterprise，即使用戶想「pass」個 session 比真人都難搞。如果你要打造 AI agent，要細心設計驗證流程。單靠 browser 自動化模擬真人登入愈嚟愈行唔通，因為堅嘅 CAPTCHA 勁擋假人。

加 CAPTCHA 會唔會大幅加預算？

CAPTCHA 服務有免費有收費。免費通常有限用量或基本功能。例如：

Cloudflare Turnstile 免費，無限制用量。
Google “reCAPTCHA Essentials” 免費，每月 10,000 次；再高或者要進階功能就要升級 Standard/Enterprise。
hCaptcha 有免費「基本」層，但 Pro/Enterprise 要收錢（e.g. hCaptcha Pro 每 100K request 約 $99–$139/月）。

要記住睇清楚供應商計劃限制同收費，按你預計流量同轉換目標考慮。

CAPTCHA 實際應用場景

CAPTCHA 通常會喺任何可能有 bot 滋擾嘅位用。常見場合包括：

驗證流程： 保護註冊、登入同找回密碼流程，防止機械人濫用。CAPTCHA 係對抗自動腳本攻擊第一道門檻。進一步，可以加登入鎖定（防暴力破解密碼）同自動調整 MFA 風險（高危時額外驗證），提升安全性同時仍可保持順滑體驗。
表單提交： 防護公共表單（例如聯絡我們、意見、留言、評分）。無 CAPTCHA 仲要俾 spammer 洗版。
高價值動作： 防止網上投票、買飛、推廣或電商結帳被作弊。用 CAPTCHA 限制自動投票或者劏票黨（例如一人一票、一人一飛）。

針對呢啲關鍵位插入 CAPTCHA，可以有效減低自動虐用情況，同時令正常用戶運作無阻。

CAPTCHA 供應商比較

CAPTCHA 供應商	用戶體驗	計劃同收費
reCAPTCHA v2 (Google)	用戶要 click 「我唔係機械人」checkbox。點擊後，可能會再挑戰影像拼圖或者唔駛再做。	免費（Essentials）最多 10K 次/月；再上就要收費（Standard/Enterprise）。Enterprise 價格$8／100K、額外每1K$1。
reCAPTCHA v3 (Google)	完全隱形，喺後台做風險評分（唔挑戰用戶）。	同 v2 一樣收費方案
reCAPTCHA Enterprise (Google)	兩種互動模式：1. 分數制（唔 challenge）；2. Checkbox同自動調整影像 challenge。	用量計算：免費至 10K；$8/至100K；之後每1K加$1。加埋其他進階功能如賬號保護、簡訊欺詐保護等。
Cloudflare Turnstile	三種互動模式：1.受管模式：Cloudflare 會自動判斷要唔要顯示 checkbox widget。2. 非互動式：所有用戶只見 auto-loading widget，唔使同 widget 互動。3. 隱形模式：訪客完全唔會見到 widget，驗證只需幾秒鐘。	幾乎全免費。免費計劃：20個 CAPTCHA widget、每個 widget 15個 hostname、無限流量。Enterprise：無限 widget。
hCaptcha	互動式圖片分類任務（同 reCAPTCHA v2 差唔多）。強調私隱，但拼圖有時都幾煩。	免費每月最多 100k request。Pro 約 $99/月。Enterprise 需自訂方案。
FunCaptcha (Arkose Labs)	遊戲化微型遊戲（轉動／拖動物件、簡單問答）。更有趣並難住機械人。	無免費層。只做 Enterprise 方案（屬於 Arkose Bot Management），要聯絡報價。
Friendly Captcha	完全隱形 proof-of-work puzzle。全部喺背景自動解決，無需手動操作。	免費非商業層（1個 domain，1000 request）。收費方案如下：Starter €9/月（1K req）；Growth €39/月（5K req）；Advanced €200/月（50K req）；Enterprise 自訂
BotDetect (Captcha.com)	傳統文字圖像或語音 CAPTCHA（字母／數字）。	自行安裝和授權授權制。冇免費計劃。APT 授權費用約 $99/年。

眾多方案之中，Cloudflare Turnstile 而家最突出。免費、易整合又唔阻人，防 bot 能力強又唔會強迫真用戶解謎，同時「唔會攞用戶數據黎再賣廣告」，極度重視私隱。對大多數網站，Turnstile 係安全性、用戶體驗同成本最好平衡。

喺登入流程簡化 CAPTCHA 串接

最簡單加 CAPTCHA 嘅方法就係用集成式身份平台。

Logto 係一個方便開發者嘅 IAM 解決方案，支援頂尖供應商如 Google reCAPTCHA Enterprise 同 Cloudflare Turnstile，幾 click 就加好 CAPTCHA。

用 Logto，你啲團隊可以保障整個用戶認證流程，無需各種複雜實現，包括註冊、登入、賬號恢復、單點登入、MFA、多租戶管理等。想知更多 Logto CAPTCHA 或者聯絡團隊探討更多 CAPTCHA 供應商方案。

免費試用 Logto Cloud

乜嘢係 CAPTCHA？#

CAPTCHA 點樣運作？#

產品應唔應該加 CAPTCHA 保護？#

AI 可唔可以破解 CAPTCHA？#

加咗 CAPTCHA 會唔會影響用戶體驗？#

CAPTCHA 阻唔阻止 AI agent 存取三方服務？#

加 CAPTCHA 會唔會大幅加預算？#

CAPTCHA 實際應用場景#

CAPTCHA 供應商比較#

喺登入流程簡化 CAPTCHA 串接#

乜嘢係 CAPTCHA？#

CAPTCHA 點樣運作？#

產品應唔應該加 CAPTCHA 保護？#

AI 可唔可以破解 CAPTCHA？#

加咗 CAPTCHA 會唔會影響用戶體驗？#

CAPTCHA 阻唔阻止 AI agent 存取三方服務？#

加 CAPTCHA 會唔會大幅加預算？#

CAPTCHA 實際應用場景#

CAPTCHA 供應商比較#

喺登入流程簡化 CAPTCHA 串接#

乜嘢係 CAPTCHA？

CAPTCHA 點樣運作？

產品應唔應該加 CAPTCHA 保護？

AI 可唔可以破解 CAPTCHA？

加咗 CAPTCHA 會唔會影響用戶體驗？

CAPTCHA 阻唔阻止 AI agent 存取三方服務？

加 CAPTCHA 會唔會大幅加預算？

CAPTCHA 實際應用場景

CAPTCHA 供應商比較

喺登入流程簡化 CAPTCHA 串接

乜嘢係 CAPTCHA？

CAPTCHA 點樣運作？

產品應唔應該加 CAPTCHA 保護？

AI 可唔可以破解 CAPTCHA？

加咗 CAPTCHA 會唔會影響用戶體驗？

CAPTCHA 阻唔阻止 AI agent 存取三方服務？

加 CAPTCHA 會唔會大幅加預算？

CAPTCHA 實際應用場景

CAPTCHA 供應商比較

喺登入流程簡化 CAPTCHA 串接