此場景面臨的威脅
假註冊農場
垃圾訊息網路大量建立帳號加以養成,再投放協同的推廣貼文(加密貨幣詐騙、OnlyFans 連結垃圾、保健品)。一個沒有 CAPTCHA、註冊量平緩的星期,可能換來數個月的版務清理。
順手推廣貼文
機器人爬取論壇主題,再投放看似切題、夾帶推廣連結的回覆。真實對話被淹沒;當搜尋引擎看到垃圾比例攀升時,SEO 也會受害。
為聲望洗白而接管帳號
資深帳號(高聲望、有發文歷史)是撞庫攻擊的目標。一旦被接管,它們就以老資格會員的可信度發布推廣內容。
投票/反應操弄
分身帳號網路替協同內容點讚/按讚,操弄首頁排行。看得見的損害是首頁;看不見的損害是演算法如今相信那些內容是高品質的。
社群平台中該把 CAPTCHA 放在哪裡
放在生成點,而非每一篇貼文上。真實會員不該覺得被監視。
- 註冊
最高價值的佈點。一道 CAPTCHA 就能擋下大部分的帳號養殖。自適應難度讓真實註冊看不見它。
- 登入與密碼重設
撞庫防禦。搭配每 IP/每帳號的速率限制。
- 新帳號的前 N 篇貼文
對任何帳號的前 3–5 篇貼文收緊驗證,之後再放鬆。擋下順手垃圾貼文,又不打擾會員。
- 匿名/訪客發文(若開放)
若你允許訪客則為必要。此處若無 CAPTCHA,訪客發文就是一條垃圾管道。
- 新帳號發出的私訊
常是繞過公開版務的詐騙私訊管道。對任何帳號的第一封私訊做輕度驗證。
- 檢舉/標記動作
擋下用來騷擾正當會員的檢舉農場。此處摩擦低,因為該動作本就以一次點擊為閘。
常見問題
會員會討厭 CAPTCHA 嗎?
多數時候會員根本看不到它。自適應 CAPTCHA 對資深帳號與低風險流量隱藏驗證。可見挑戰只對新帳號、可疑模式,或來自已知垃圾機器人 IP 區段的流量觸發。若會員在抱怨可見的 CAPTCHA,那是別處出了問題——通常是風險門檻設定有誤。
Discourse / phpBB / vBulletin 怎麼辦?
Discourse 有 Captcha 外掛插槽——CaptchaLa 可作為供應商直接接入。phpBB 與 vBulletin 需透過我們的 Web SDK 做自訂整合。多數團隊在數小時內就能自行整合完成。
這與我們既有的反垃圾機制(Akismet、Spam Karma)如何互動?
它們相輔相成:CAPTCHA 在表單處擋下機器人,內容過濾則攔截被入侵真實帳號發出的垃圾。多數同時運行兩者的社群回報版務佇列明顯更乾淨。
IRC / Matrix / Discord 式聊天怎麼辦?
即時聊天是不同的面——逐則訊息的 CAPTCHA 會打斷對話。在加入/註冊/驗證步驟放 CAPTCHA 較合理。若要逐則訊息防護,請改看速率限制與行為式機器人偵測。