米Googleは10月29日、人間とbotを識別するための新API「reCAPTCHA v3」を公開したと発表した。従来のreCAPTCHAは、ゆがんだ文字を読み取ったり、チェックボックスにチェックを入れるなどユーザーによる操作が必要だったが、v3は操作が不要。リスク分析エンジンでユーザーのアクティビティを分析し、どれぐらい不審かをスコア化して示すことで、Webサイトオーナーが対策を講じられるようにした。

reCAPTCHA v1では、アクセスした全ユーザーに対して、ゆがんだ文字を読み取って入力するよう要求していた。reCAPTCHA v2では、「I'm not a robot」（私はロボットではありません）というチェックボックスにチェックを入れる方法がメインとなり、リスク分析エンジンで相手が人かbotか判別できなかった場合は、ゆがんだ文字を読んだり、複数の画像の中から特定の画像だけを選ぶ必要があった。

最新のreCAPTCHA v3は、ユーザーの一連の操作を分析し、その動きがどれぐらい不審なのかをスコア化する仕組みになっており、ユーザーによる操作は一切不要。ユーザーの行動を妨げずに利用できる。reCAPTCHA v3を複数のページに実装すれば、複数ページにわたるアクティビティを解析し、より正確にbotを判別したり、どのページがbotの標的にされているかを把握することもできるという。

サイト運営者は、スコアにしきい値を設定し、ある値以上なら2段階認証を要求したり、トランザクション履歴などほかのスコアと組み合わせたり、不正行為対策のための機械学習モデルのトレーニングに活用する――といった使い方をすることで、botによる不正アクセスを排除できるとしている。