Cloudflare PACT: Browser-Protokoll soll CAPTCHAs überflüssig machen

Am 22. Juni 2026 kündigte Cloudflare eine neue Brancheninitiative an: Gemeinsam mit den großen Browser-Anbietern soll ein datenschutzfreundliches Protokoll entstehen, das Websites hilft, legitime Nutzer von Bots zu unterscheiden – ohne Captchas, Zwangs-Logins oder Tracking. Das Projekt trägt den Namen Private Access Control Tokens (PACT) und wird laut Cloudflare von Mozilla Firefox, Google Chrome, Microsoft Edge und Shopify unterstützt.

Das Problem: Bots überholen Menschen im Netz

Laut Cloudflares Radar-Daten stammen inzwischen rund 58 Prozent des weltweiten Web-Traffics von automatisierten Systemen – nur noch 42 Prozent von echten Menschen. Gleichzeitig erschweren KI-Agenten, die zunehmend eigenständig einkaufen, buchen oder Informationen suchen, die Unterscheidung zwischen erwünschter und schädlicher Automatisierung. Bisherige Schutzmechanismen wie Captchas, Geräte-Fingerprinting oder erzwungene Logins seien laut den Beteiligten ein „Flickwerk an nicht perfekten Verteidigungsmechanismen“, das mit modernen Bedrohungen nicht mehr Schritt hält.

Cloudflare-CTO Dane Knecht erklärte in der Ankündigung: „Da KI-gestützter Traffic weit verbreitet ist, sind die bestehenden Werkzeuge zu generisch und grob.“ Die Herausforderung bestehe nicht nur in der Menge des automatisierten Traffics, sondern auch in seiner zunehmenden Qualität – moderne KI-Agenten imitieren menschliches Surfverhalten immer besser.

Was sind Private Access Control Tokens?

PACT basiert auf einem einfachen Prinzip: Eine Website, die bereits ein starkes Vertrauensverhältnis zu einem Nutzer hat – etwa durch ein Konto oder eine abgeschlossene Transaktion –, kann anonyme, kryptografisch signierte Tokens ausstellen. Der Browser des Nutzers speichert diese Tokens lokal und kann sie später anderen Websites vorlegen, um zu belegen, dass ein Mensch – oder ein autorisierter KI-Agent – hinter der Anfrage steht.

Die entscheidende Neuerung: Die Tokens sind so konzipiert, dass Websites sie nicht zum Tracking oder zur Identifikation einzelner Nutzer missbrauchen können. Cloudflare betont, dass teilnehmende Seiten die Tokens nicht nutzen können, um Nutzer über verschiedene Seiten hinweg zu verfolgen oder deren Browserverlauf offenzulegen. Das Protokoll setzt damit auf „Privacy by Design“ – eine Eigenschaft, die herkömmliche Captcha-Dienste wie Googles reCAPTCHA bislang vermissen lassen.

Wer macht mit – und wer fehlt?

Neben Cloudflare selbst sind mit Google Chrome, Microsoft Edge und Mozilla Firefox drei der großen Browser-Anbieter an Bord. Hinzu kommt die E-Commerce-Plattform Shopify, die PACT aus Händlerperspektive unterstützt. Die Beteiligten planen, das Protokoll als offenen Standard bei einer Standardisierungsorganisation einzureichen.

Auffällig ist das Fehlen von Apple und dessen Browser Safari. Safari hält nach aktuellen Statistiken den zweithöchsten Marktanteil im Browser-Markt. Apples Abwesenheit könnte die flächendeckende Verbreitung des Standards erschweren, da viele Websites beide großen Browser-Ökosysteme gleichermaßen unterstützen müssen.

Der KI-Faktor: Agenten erwünscht, Missbrauch unerwünscht

Ein besonderes Merkmal von PACT ist der explizite Einbezug von KI-Agenten. Cloudflare-CTO Dane Knecht führte aus, dass alltägliche Aufgaben wie Essen bestellen oder Reisen buchen zunehmend von autonomen Agenten erledigt würden. Anders als herkömmliche Bot-Abwehr will PACT nicht jede Automatisierung unterbinden, sondern zwischen erwünschter und böswilliger Automatisierung unterscheiden. Das könnte den Weg für legitime KI-Assistenten ebnen, die selbstständig im Internet unterwegs sind – ein Bereich, in dem bisherige Captcha-Systeme an ihre Grenzen stoßen.

Shopify-Vertreter Ilya Grigorik betonte in diesem Zusammenhang, dass der Handel zunehmend mit automatisierten Einkäufen durch KI-Agenten konfrontiert sei. PACT biete hier einen Rahmen, um vertrauenswürdige Automatisierung von Betrug zu unterscheiden, ohne die Privatsphäre der Käufer zu gefährden.

Vielversprechender Ansatz mit offenen Fragen

PACT ist ein ambitioniertes Projekt, das an den richtigen Stellen ansetzt: Weniger Captchas, weniger Tracking, mehr Privatsphäre. Die breite Unterstützung durch führende Browser-Anbieter und die geplante Standardisierung sind starke Signale für die Zukunftsfähigkeit des Protokolls.

Dennoch bleiben Fragen offen. Apples Fehlen, die technische Umsetzung im Alltag und die grundsätzliche Herausforderung, Bot-Abwehr mit maximaler Privatsphäre zu vereinbaren, werden zeigen müssen, ob PACT mehr ist als eine weitere Ankündigung. Sollte das Protokoll jedoch halten, was es verspricht, könnten die lästigen Captcha-Abfragen und die unsichtbaren Tracking-Methoden der Bot-Abwehr bald der Vergangenheit angehören.