世界を動かす技術を、日本語で。

インターネット上のボットの状況は、あなたが想像しているよりも悪化しています

2026年3月30日原文(gladeart.com)

概要

  • Anubis はウェブサイトを AIスクレイピング から守るための防御システム
  • Proof-of-Work 方式を採用し、悪意ある大量アクセスを抑制
  • 一般利用者には 負担が少なく、大量スクレイピングにはコスト増加
  • 将来的には フィンガープリント 技術の活用を予定
  • 一部プラグイン(例: JShelter)が機能を妨げる場合あり

Anubisによるウェブサイト保護の仕組み

  • Anubis はAI企業による 攻撃的なスクレイピング からサーバーを保護
  • サイトのリソースが過度に消費されることによる ダウンタイム防止
  • Proof-of-Work (PoW)方式を導入し、アクセスごとに計算負荷を課す設計
    • Hashcash のアイデアを応用したPoWスキーム
  • 個人ユーザーには 影響が少ない が、ボットや大量アクセスには コスト増加
  • PoW方式は 一時的な措置 であり、将来的には ブラウザのフィンガープリント 技術を活用予定
    • 例: フォントレンダリング の違いによる判別

利用者への注意点

  • Anubis は最新の JavaScript 機能を必要とする
  • JShelter などのプラグインが有効だと、PoWページが正しく表示されない場合あり
  • 上記プラグインを 無効化 することで、正常なアクセスが可能

今後の展望

  • PoW方式 は一時的な措置として運用
  • 今後は フィンガープリント技術 による正当ユーザー識別の強化を目指す
  • ユーザー体験と セキュリティ の両立を重視

Hackerたちの意見

有効化される前は、毎日数十万件のリクエストが来てたんだって。アヌビスがアクティブになった途端、24時間後にはリクエストが11件に減った。こういう実験データ大好き!アヌビスが導入されたときの直感的な反応なんて、スパムみたいなもんだったから、全然違うよね。

そうだね、でも実際のサイトにはたどり着けなかった。それが本来の目的じゃないよね?100% CPUを5秒間使っても進展がなかったから、諦めた。ボットを追い払うのが目的であって、普通の人間を追い払うのが目的じゃないはず。

シンプルなPoWがほぼすべての活動を止める効果に驚いてる。全プロジェクトでアヌビスを低難易度で実装して、sitemapやrobots.txtにしっかりllms.txtを参照させて、LLMが自サイトの関連データを取得できるようにしつつ、悪質なボットを排除するつもり。中国からのリクエストが何千件も来てて、コストがかなり増えてたから、解決策が簡単そうで嬉しい。

シンプルなPoWがほぼすべての活動を止める効果に驚いてる。もっとバカなことに、デフォルトでアヌビスはcurlのユーザーエージェントをホワイトリストにしてるんだよね。curl -H "User-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/146.0.0.0 Safari/537.36" "https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/diff/?id=v7.0-rc5&id2=v7.0-rc4&dt=2" ボットじゃないことを確認してる!対してcurl "https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/diff/?id=v7.0-rc5&id2=v7.0-rc4&dt=2" kernel/git/torvalds/linux.git - Linuxカーネルソースツリー

確かに、サイトに行きたい人間としては十分すぎるくらいだね。そうなると、サイトを完全に閉じる方がいいかも。

プレスタショップのウェブサイトでこのパターンがすごく多いんだ。ボットからのリクエストが何千件、いや何十万件も来てて、User-agentで自己主張してないし、いろんなIPから来てる。めっちゃウザい。しかも、見た目は正当なトラフィックに見えるからフィルタリングもできない。色やサイズなどのオプションがあるページでは、すべての組み合わせを試して、リソースを食い尽くしてる。

2分間このページにいるけど、まだボットかどうか確信が持てないって笑。前世で何をしたらこんな目に遭うんだろう :(

モバイルで150kHashesで2分経ったけど、やっと進捗バーの最初のピクセルが埋まった。終わるまでに数時間か1日かかりそう。もう少し予測があればよかったな。

ハニーボットに引っかかった気がする。

シニカルな自分は、彼らが私たちのスマホでビットコインをマイニングしてるんじゃないかと思ってる… 完了した後、ページが誤って設定されてるって言われた。

どのページ?https://gladeart.com/blog/the-bot-situation-on-the-internet-... は、俺にはほぼ瞬時に読み込まれたよ。

スパムや詐欺、ボット管理のツールを作り始めたんだ。もし既に decent なインフラが整ってるなら、いろんなテクニックを使って結構管理しやすいタスクだよ。明らかなやつ、例えばアリババとかには ASN ベースのブロック(IP ルックアップデータベースは自己ホスティングできて ASN を含む)を使って、あまり明らかでないやつにはサブネットブロックを使う(パターンを見て、サブネットをブロックすることで、問題を軽減するけど解決はしない)。ログのスタックがあれば、クローラーやボットのパターンを簡単に見つけられるし、ブロックするための候補となる IP サブネットをフラグ付けできるよ。確かに、これは whackamole みたいなもんだけどね。リスクデータベースに基づくブロックも試してるところで、プロバイダーによって年間 $2k から $10k の間で運用されてる。これらは IP 範囲を is_vpn や is_tor みたいなブール値にマッピングして、ASN 情報も含んでる。少し怪しいクローリング行動やキーワードフラグがそのデータベースにヒットすれば、高い信頼度のブロックができるよ。こういうのは今や claude で簡単にできるから、前は本当に面倒だった。

Hacker Newsで議論の続きを見る