Cloudflare 联手三大浏览器，PACT 协议能否彻底终结验证码时代？

网络基础设施巨头 Cloudflare 最近放出了一个重磅消息：他们正与 Google Chrome、Mozilla Firefox、Microsoft Edge 携手，共同推进一项全新的互联网协议。这项名为PACT（Private Access Control Token，私有访问控制令牌）的技术，核心目标只有一个——让真实用户在不暴露任何隐私的前提下，直接获得网站访问权限，从此告别那些烦人的验证码。

验证码已经"过时"了？

说实话，验证码（CAPTCHA）这东西，早就让人不胜其烦。选红绿灯、点自行车、辨认扭曲字母……这些操作不仅打断浏览节奏，还越来越拦不住真正的威胁。现在的 AI 模型识别图像的能力已经远超人类，传统验证码形同虚设。更讽刺的是，它拦住的往往是真人用户，而不是那些自动化爬虫。

Shopify 最近发布的一组数据更让人警醒：每多一个验证码步骤，电商网站的购物车放弃率就会明显攀升。对商家来说，这等于在收银台前人为设置了一道障碍。有人可能会说，那用浏览器指纹不就行了？但问题是，这种暗中采集设备特征的做法，已经被隐私倡导者和监管机构盯上了，属于典型的"以侵犯换安全"，根本走不通。

所以，整个行业都在问：有没有一种方式，既能区分真人和机器人，又不用用户做任何额外操作，还不泄露隐私？

PACT 的出现，正是为了回答这个问题。

PACT 到底怎么运作？

它的思路其实挺巧妙的。想象一下，你平时登录的某个可信网站（比如邮箱、社交平台），已经对你的身份有了充分了解。PACT 允许这些网站向你颁发一枚"匿名令牌"，你的浏览器会把它安全地存起来。当你访问其他网站时，这枚令牌就像一个"信用凭证"被自动出示，对方网站读取后就能确认你是真人，直接放行。

整个过程中，最关键的一点是：匿名性被严格保护。颁发令牌的网站不知道你去了哪里，接收令牌的网站也不知道你是谁，更无法拿这枚令牌去追踪你的浏览历史。广告网络想靠它重构用户画像？门儿都没有。

换句话说，PACT 提供的是一种"密码学级别的真人证明"，但你的个人身份始终被锁在门外。

为什么现在必须做这件事？

放眼当下的互联网，自动化机器人流量已经远远超过真人用户的正常浏览。对无数网站运营者来说，这意味着服务器持续高负载、CDN 带宽被白白消耗、存储成本不断攀升。传统的防御手段不仅效率低下，还误伤用户体验。

PACT 的野心不止于替代验证码。Cloudflare 在官方公告中明确提到，这项协议旨在建立一个面向全球互联网的、隐私优先的标准化验证模式。它的目标不是消灭所有自动化程序——毕竟，很多 AI 代理是代表用户执行合法任务的。PACT 真正想做的，是把恶意爬虫和合法自动化工具区分开来，让后者也能顺畅通行。

巨头们怎么看？

Mozilla 的首席技术官对这件事态度非常鲜明：海量机器人流量正在逼迫网站采取越来越极端的防御措施，付费墙、频繁的身份验证弹窗层出不穷，长此以往，开放互联网的精神会被侵蚀。微软 Edge 的工程团队也持类似观点——打击滥用和保护隐私，这两件事不该是零和博弈。

有意思的是，苹果的 Safari 在这次公开简报中并未被提及，但 PACT 的技术底座其实就建立在 Safari 的 Privacy Pass 架构之上。苹果此前已将这套方案推动成为 IETF 的 RFC 9576 标准。PACT 本质上是在这个已有标准上进行扩展，让它能够适配更广泛的浏览器生态。

落地还有多远？

坦率地说，PACT 目前仍处于早期研发阶段，全球大规模部署的时间表尚未明确。要在数十亿并发浏览器会话中跑通这么一套复杂的框架，工程挑战不容小觑。不过，Cloudflare、Google、Mozilla、微软乃至 Shopify 这些行业巨头的联合背书，至少说明方向是对的。

从验证码到令牌验证，从隐私侵犯到隐私优先，这场围绕互联网身份验证的变革，或许比我们想象的要来得更快。对普通用户来说，最直观的感受可能就是：以后上网，终于不用再跟"我不是机器人"的方框较劲了。