Thought Leadership
Mozilla schlägt mit PACT ein datenschutzfreundliches System vor, das CAPTCHAs ersetzen und Bots anhand der Online-Reputation erkennen soll.
Mozilla hat ein neues Konzept namens PACT (Private Access Control Tokens) vorgestellt. Das System soll das Problem lösen, dass Webseiten zunehmend automatisierte Angriffe wie Credential Stuffing, Spam-Kampagnen und DDoS-Attacken abwehren müssen, während herkömmliche Schutzmaßnahmen versagen. Da moderne generative künstliche Intelligenz herkömmliche CAPTCHAs mittlerweile schneller und zuverlässiger lösen kann als menschliche Nutzer, greifen Webseitenbetreiber oft zu Identitätsabfragen wie Telefonnummern oder Logins. Dies schränkt den Datenschutz ein. Mozilla wies auf das Dilemma für Anwender hin, die VPNs oder Anti-Tracking-Tools nutzen:
„Je effektiver sie ihre Privatsphäre schützen, desto schwieriger ist es für Websites, sie von Bots zu unterscheiden, und desto schlechter ist die Behandlung, die sie erfahren.“
Mozilla
Auch Webseitenbetreiber leiden unter den zusätzlichen Hürden für legitime Besucher, nehmen diese aber zur Abwehr von Massenmissbrauch in Kauf.
Funktionsweise der kryptografischen Reputation von Mozilla
Anstelle von Hardware-Zertifikaten von Geräteherstellern wie Apple, Google oder Microsoft setzt das PACT-Framework auf die bestehende Reputation eines Nutzers im Internet. Das System nutzt sogenannte Knappheitssignale wie ein bestehendes kostenpflichtiges VPN-Abonnement, langjährige E-Mail-Konten oder verifizierte Telefonnummern. Da Angreifer solche Konten nicht massenhaft instand setzen können, dienen diese Dienste im PACT-Modell als Anker.
Diese Anker stellen dem Browser kryptografische Bestätigungen aus. Wenn ein Nutzer eine Webseite aufruft, vermittelt ein digitaler Moderator zwischen dem Browser und der Webseite. Der Browser präsentiert die Bestätigung, ohne offenzulegen, welcher konkrete Anker sie ausgestellt hat. Der Moderator tauscht diese gegen ein wiederverwendbares Zertifikat aus. Bei normalem Surfverhalten steigt das Vertrauen in dieses Zertifikat, während bot-ähnliche Aktivitäten wie massenhaftes Scraping zu einem Vertrauensverlust und damit zu Zugriffsbeschränkungen führen, ohne dass die Identität des Nutzers offenbart wird.
Integration von KI-Agenten und Standardisierung
Das vorgeschlagene Framework ist so konzipiert, dass es auch autonome KI-Agenten einbinden kann, die im Auftrag von menschlichen Nutzern agieren. Diese Agenten könnten dieselben Zertifikate wie ihre menschlichen Auftraggeber erhalten, wodurch die Nutzer für das Verhalten ihrer digitalen Assistenten verantwortlich bleiben. Alternativ könnten KI-Dienstanbieter selbst als Anker fungieren und für die Legitimität ihrer automatisierten Systeme bürgen.
Mozilla betont, dass es sich bei PACT um ein Konzept in einem frühen Entwicklungsstadium handelt. Vor einer praktischen Implementierung sind umfassende technische Analysen erforderlich. Das Unternehmen plant, die Spezifikationsentwürfe bei Standardisierungsgremien wie der Internet Engineering Task Force (IETF) und dem World Wide Web Consortium (W3C) einzureichen, um das Verfahren international zu diskutieren.
(red)
