繁體中文（台灣）

Captcha
Security

CAPTCHA 供應商採購指南 2025

了解現代 CAPTCHA 的運作方式。從功能、價格和整合技巧等角度，對比 Google reCAPTCHA、Cloudflare Turnstiles 等供應商。

Ran

Product & Design

7/16/2025

不要在使用者認證上浪費數週時間

使用 Logto 更快地發布安全應用程式。幾分鐘內整合使用者認證，專注於您的核心產品。

立即開始

什麼是 CAPTCHA？

CAPTCHA（完全自動化的公共圖靈測試，用來區分電腦和人類）是一種挑戰-回應機制，用來分辨真人用戶與自動程式（機器人）。它會提出人類容易、機器難做的任務。

例如，傳統 CAPTCHA 可能顯示扭曲的字母或數字，要求用戶輸入它們。透過人類圖形辨識能力，CAPTCHA 可以阻擋大多數腳本和垃圾機器人濫用線上表單與服務。

CAPTCHA 如何運作？

傳統 CAPTCHA 依賴於解讀扭曲文字或選擇特定圖片等任務。文字變形（如扭曲字母、加雜訊）能防止簡單的 OCR（光學字符識別）演算法識別。

現代 CAPTCHA 已發展成數種型態：

互動式 CAPTCHA： 用戶需主動解謎或執行特定操作。例如「我不是機器人」勾選方框。點擊後可能要求選出所有紅綠燈或店面的圖片、輸入顯示的字元、甚至進行語音測試。值得注意的是，Cloudflare Turnstile 只需簡單點擊勾選框即可驗證是否為人類，不需複雜驗證。
非互動式 CAPTCHA： 不會打斷用戶也不須解謎。例如 Cloudflare Turnstile 的非互動模式，訪客只會看到自動載入條的小型元件。它會在背景檢查，然後安靜地返回成功或失敗結果。這種方式最重視用戶體驗。
隱形或被動式 CAPTCHA： 完全在背景運行，沒有任何可見測試。例如 Google reCAPTCHA v3 會隱身分析用戶行為（滑鼠移動、時間、Cookie 等）來分配風險分數（0–1），不用任何直接挑戰。用戶除非分數太低，否則幾乎看不到任何東西。

產品是否應該加上 CAPTCHA 保護？

使用 CAPTCHA 是安全性與用戶體驗之間的取捨。選擇 CAPTCHA 服務時，主要考量包含：

AI 能否破解 CAPTCHA 挑戰？

CAPTCHA 對基本機器人很有效，但有心攻擊者也擁有對策。進階腳本或 AI 機器人有時能靠 OCR／圖像辨識與機器學習突破 CAPTCHA。甚至市面上有反 CAPTCHA 或求解服務（俗稱「繞過即服務」），攻擊者可付費給真人或專屬 AI 大量解題。例如 Google 曾指出舊式文本 CAPTCHA 被機器人解出率可超過 99%。

不過，現代非互動與隱形型態的 CAPTCHA，如基於行為或密碼學背景驗證，更能防禦 AI 攻擊。尤其現在機器人流量驚人：佔整個網路流量 51% 左右，其中 37% 為惡意塑。即使不是萬無一失，擁有某些 CAPTCHA 或機器人檢測仍非常重要。

此外，應強化多層次防護，例如裝置指紋識別（例如經由 passkey）、速率限制、多重驗證（MFA）。

加上 CAPTCHA 是否會損害用戶體驗？

任何 CAPTCHA 都會增加用戶摩擦。研究發現，只有約 66% 人類第一次輸入就正確通過 CAPTCHA，表示不少人可能會挫折或中途放棄表單。例如，冗長的圖像謎題或重複驗證會降低轉換率。

為改善這點，現代 CAPTCHA 強調降低人力成本。策略包括：

只針對高風險狀況自適應出題。
採用非侵入式訊號（滑鼠移動、時機等）取代問題。
提供靜默運作的隱形 CAPTCHA。

Cloudflare 表示 Turnstile「消除了惱人 CAPTCHA 體驗」，讓真正的用戶「不必再浪費時間解答畫面謎題」。實務上，多數網站只會在用戶行為可疑時，展示勾選框或圖片驗證，以正常流量則什麼都不會出現。

CAPTCHA 是否會阻擋 AI agent 存取第三方服務？

現在愈來愈多 AI agent 出現，專門自動化各類操作並與第三方服務互動。

很多特定領域 AI agent 透過標準協議像 OAuth 與 MCP（模型上下文協議）安全正當地連接到第三方應用。這能讓用戶順利授權代理人操作，非常安全且合規。

但有些「通用型」AI agent 企圖完全取代人類瀏覽行為。像 Manus 就是設計來自動填寫表單、登入、帳號密碼輸入等所有網頁行為。實際測試時，Manus 難以通過如 Cloudflare Turnstile 與 Google reCAPTCHA Enterprise 這類現代高安全性 CAPTCHA，即便用戶希望「交接」給真人幫忙手動解題也很難。如果你在打造 AI agent，建議要仔細設計認證流程。依賴瀏覽器自動化模仿人類登入，已愈來愈不可靠，因為強效 CAPTCHA 極擅於阻擋類機器人行為。

引入 CAPTCHA 會增加多少成本？

CAPTCHA 服務有免費也有付費方案。免費方案多有流量或功能限制。例如：

Cloudflare Turnstile 完全免費且不限用量。
Google 的 reCAPTCHA Essentials 免費，每月最多 1 萬次評估，流量更高或進階功能需升級。
hCaptcha 提供「Basic」免費版，Pro／Enterprise 收費（如 hCaptcha Pro 約 $99–$139／月，含 10 萬次請求）。

請務必根據自身流量與目標檢查各家供應商的方案限制與定價。

CAPTCHA 使用情境

通常在機器人有機會造成麻煩時部署 CAPTCHA。常見情境包括：

驗證流程： 防止註冊、登入、密碼找回等受機器人濫用。CAPTCHA 作為防禦自動攻擊的第一線。進一步建議配合登入鎖定（阻擋密碼暴力破解）及自適應 MFA（偵測風險時提升驗證強度），增加安全性同時維持流暢體驗。
表單提交： 保護公開表單（如聯絡、意見、評論、評價）。沒 CAPTCHA，垃圾訊息很容易灌爆留言區。
高價值動作： 防止線上投票、票券銷售、促銷或電商結帳被濫用。CAPTCHA 限制自動灌票或搶票（如同一人只能投一票、買一張票）。

在這些關鍵點加上 CAPTCHA，可大幅減少自動化濫用，同時讓正當用戶順利存取。

比較 CAPTCHA 供應商

CAPTCHA 供應商	用戶體驗	方案與價格
reCAPTCHA v2 (Google)	用戶需點擊「我不是機器人」勾選框。此點擊可能會要求圖片驗證也可能不會。	免費（Essentials）每月最多 1 萬次。超出升級付費（Standard/Enterprise），Enterprise $8（10 萬次內），超出每千次 $1。
reCAPTCHA v3 (Google)	隱形、背景風險評分（用戶無需解題）。	與 reCAPTCHA v2 相同價階
reCAPTCHA Enterprise (Google)	兩種互動模式：1. 基於分數（無需解題）2. 勾選框和自適應視覺挑戰	按量計價：免費（1 萬），10 萬次 $8，超出每千 $1。額外支援帳號防禦、簡訊詐騙防護等功能。
Cloudflare Turnstile	三種互動：1. 自動模式 Cloudflare 決定哪些用戶看到勾選框 2. 非互動：所有用戶僅見自動加載，無需互動。3. 隱形：訪客完全看不見元件，挑戰僅需數秒。	幾乎完全免費：20 個 CAPTCHA 元件、每元件 15 個 hostname、流量不限。Enterprise：元件數不限。
hCaptcha	互動式影像分類（類似 reCAPTCHA v2），重視隱私，但謎題或許複雜。	免費（每月 10 萬次）；Pro ~$99／月；企業版客制
FunCaptcha (Arkose Labs)	遊戲化微型遊戲（轉動畫像、簡單小測驗），謎題更有趣，難倒機器人。	無免費。僅企業方案（Arkose Bot Management 一部份），詢價制
Friendly Captcha	完全隱形工作量證明。用戶無需操作，一切後台完成。	免費非商用（1 網域，1000 次），付費 Starter €9／月（1 千次）、Growth €39（5 千次）、Advanced €200（5 萬次）、企業客製
BotDetect (Captcha.com)	傳統圖像/語音 CAPTCHA（字母／數字）	自架授權制。無免費，約 $99／年

以上眾多選擇中，Cloudflare Turnstile 今日最出色。它免費、整合簡單、不會打擾用戶。Turnstile 堅實防機器人，同時「絕不蒐集資料用於廣告追蹤」，完全尊重用戶隱私。多數網站選它，都能在安全性、使用者體驗、成本達到最好平衡。

簡化登入流程的 CAPTCHA 整合

最簡單開啟 CAPTCHA 的方式，就是用內建型的身份驗證平台。

Logto 是對開發者友善的身份存取管理（IAM）方案，支援主流專家如 Google reCAPTCHA Enterprise 跟 Cloudflare Turnstile，讓你幾個點擊就能啟用 CAPTCHA。

透過 Logto，你的團隊能保護整體認證流程而無需繁瑣實作，包含註冊、登入、帳號恢復、單一登入、MFA、多租戶管理等。詳情請參考 Logto 的 CAPTCHA 文件，或聯絡團隊詢問更多 CAPTCHA 選擇。

免費試用 Logto Cloud

什麼是 CAPTCHA？#

CAPTCHA 如何運作？#

產品是否應該加上 CAPTCHA 保護？#

AI 能否破解 CAPTCHA 挑戰？#

加上 CAPTCHA 是否會損害用戶體驗？#

CAPTCHA 是否會阻擋 AI agent 存取第三方服務？#

引入 CAPTCHA 會增加多少成本？#

CAPTCHA 使用情境#

比較 CAPTCHA 供應商#

簡化登入流程的 CAPTCHA 整合#

什麼是 CAPTCHA？#

CAPTCHA 如何運作？#

產品是否應該加上 CAPTCHA 保護？#

AI 能否破解 CAPTCHA 挑戰？#

加上 CAPTCHA 是否會損害用戶體驗？#

CAPTCHA 是否會阻擋 AI agent 存取第三方服務？#

引入 CAPTCHA 會增加多少成本？#

CAPTCHA 使用情境#

比較 CAPTCHA 供應商#

簡化登入流程的 CAPTCHA 整合#

什麼是 CAPTCHA？

CAPTCHA 如何運作？

產品是否應該加上 CAPTCHA 保護？

AI 能否破解 CAPTCHA 挑戰？

加上 CAPTCHA 是否會損害用戶體驗？

CAPTCHA 是否會阻擋 AI agent 存取第三方服務？

引入 CAPTCHA 會增加多少成本？

CAPTCHA 使用情境

比較 CAPTCHA 供應商

簡化登入流程的 CAPTCHA 整合

什麼是 CAPTCHA？

CAPTCHA 如何運作？

產品是否應該加上 CAPTCHA 保護？

AI 能否破解 CAPTCHA 挑戰？

加上 CAPTCHA 是否會損害用戶體驗？

CAPTCHA 是否會阻擋 AI agent 存取第三方服務？

引入 CAPTCHA 會增加多少成本？

CAPTCHA 使用情境

比較 CAPTCHA 供應商

簡化登入流程的 CAPTCHA 整合