Vrouw zwaait met haar hand naar de camera van haar laptop.
Nieuws1 juli · 15:483 min leestijd

Googles reCAPTCHA wil je hand op video, en is nu al te omzeilen

Google test een reCAPTCHA die je vraagt een handgebaar voor de camera te maken. Het raakt de privacy van je bezoekers, en onderzoekers omzeilden de check al met een simpele stockfoto via een virtuele camera.

Google test een nieuwe manier om te bewijzen dat je geen bot bent: reCAPTCHA vraagt sommige bezoekers nu om hun camera aan te zetten en een handgebaar te maken, bijvoorbeeld zwaaien of een open hand tonen. Het systeem neemt daar een kort filmpje van op en analyseert dat. Klinkt futuristisch, maar er zit een dubbele adder onder het gras: het raakt de privacy van je bezoekers en het is nu al te omzeilen met een gewone stockfoto. Voor vrijwel elk bedrijf met een webformulier of webshop is dat relevant, want reCAPTCHA draait onder de motorkap van talloze Nederlandse sites.

Hoe de handgebaar-check werkt

Bij deze variant vraagt de browser toegang tot je camera en moet je een eenvoudig gebaar maken. Google legt dat vast in een korte video en gebruikt AI om 21 coördinaten van je vingerknokkels uit te lezen, op basis van het MediaPipe hand-landmark-model. Aan de hand van die punten bepaalt de dienst of er een echte, bewegende hand voor de lens zit. Google zegt de video en beelden automatisch te verwijderen zodra de challenge is afgerond en de data conform het eigen privacybeleid te verwerken. Wie het gebaar niet kan of wil maken, houdt de bekende visuele en audio-uitdagingen.

Iemand bestuurt een laptop met handgebaren voor een gebarencamera, een vroege demo van gesture-herkenning via de webcam. Bron: Intel Free Press / Wikimedia Commons (CC BY 2.0)
Iemand bestuurt een laptop met handgebaren voor een gebarencamera, een vroege demo van gesture-herkenning via de webcam. Bron: Intel Free Press / Wikimedia Commons (CC BY 2.0)

Een stockfoto is genoeg om erlangs te komen

Het grootste probleem: de check is nu al gekraakt. Een gebruiker op X liet zien dat een gewone stockfoto van een hand, gevoed via de virtuele camera van OBS, de test gewoon passeert. Een journalist van Neowin reproduceerde het na een paar pogingen met verschillende stockfoto's: hij hoefde alleen de positie van het beeld bij te stellen. Er komt geen AI-bot aan te pas, en het hele trucje is met een kort Python-script te automatiseren. Google zal het model naar verwachting bijwerken zodat het statische beelden weigert, maar op dit moment levert de functie vooral de privacy-nadelen op zonder de beveiligingswinst.

Wat dit betekent voor jouw bedrijf

reCAPTCHA zit op ontelbaar veel contactformulieren, inlogpagina's en checkout-flows, ook in Nederland. Als deze gebarenvariant breder uitrolt naar jouw bezoekers, komen er twee dingen op je af. Ten eerste frictie: mensen die hun camera moeten aanzetten om een formulier te versturen, haken sneller af, zeker op mobiel of op een zakelijke laptop met een afgeplakte camera. Ten tweede privacy: een handscan is biometrische data, en dat is onder de AVG een bijzondere categorie persoonsgegevens met strengere eisen. Ook al belooft Google de beelden te wissen, jij blijft als websitehouder verwerkingsverantwoordelijke voor wat er op jouw formulier gebeurt.

Deze bypass is precies waarom de klassieke captcha op zijn eind loopt. Cloudflare, Google, Apple en Mozilla lanceerden PACT, een protocol dat de captcha moet vervangen door een gestandaardiseerd, privacyvriendelijk alternatief, juist omdat puzzels en beeldproeven de bots niet meer buiten houden.

Voorlopig is dit een beperkte test, geen standaard, en je bepaalt zelf welke captcha-variant en welke leverancier je op je site zet. Mijn advies: kijk kritisch naar wat je bezoekers moeten inleveren om te bewijzen dat ze mens zijn. Een methode die je conversie remt én biometrie verzamelt terwijl ze met een foto te foppen is, is geen vooruitgang. Houd je verificatie simpel en privacyvriendelijk, en stap over zodra volwassen standaarden zoals PACT klaar zijn.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Verificatie zonder gedoe

Twijfel je of jouw formulieren en checkout bots buitenhouden zonder je bezoekers weg te jagen? Ik denk met je mee, ontwerp de flow en bouw en automatiseer een privacyvriendelijke oplossing, self-hosted waar dat kan.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

Cloudflare en de grote browsers lanceren PACT: het einde van de captcha
Nieuws
5 min

23 jun 12:16

Cloudflare en de grote browsers lanceren PACT: het einde van de captcha

Cloudflare, Chrome, Firefox, Edge en Shopify werken samen aan PACT, een cryptografisch protocol dat captcha's vervangt zonder bezoekers te volgen. Voor elke webshop met een inlog of formulier verandert dat de afweging tussen botbescherming en gebruiksgemak.

Je hebt opgeschreven wat je AI-agent mag. Alleen weet niemand wie hij is.
Inzicht
7 min

9 jul 13:03

Je hebt opgeschreven wat je AI-agent mag. Alleen weet niemand wie hij is.

AI-agenten krijgen nu een eigen digitale identiteit, van Okta en de Linux Foundation tot Estland. Wie zijn agent op geleende inloggegevens laat draaien, verliest het zicht op wie er namens hem handelt.

AI-jacht op bugs bezorgt securityteams een patchgolf: 1.500 zware CVE's in juni
Nieuws
5 min

4 jul 04:39

AI-jacht op bugs bezorgt securityteams een patchgolf: 1.500 zware CVE's in juni

Onderzoeksbureau Epoch AI telde in juni 2026 zo'n 1.500 hoog- en kritieke kwetsbaarheden van 21 grote organisaties, ruim 3,5 keer het oude maandrecord. AI vindt bugs nu op schaal, en dat verandert hoe securityteams hun patchcapaciteit moeten inrichten.

Cloudflare blokkeert AI-crawlers standaard op advertentiepagina's vanaf 15 september
Nieuws
5 min

1 jul 21:23

Cloudflare blokkeert AI-crawlers standaard op advertentiepagina's vanaf 15 september

Cloudflare zet vanaf 15 september 2026 de standaard om: AI-crawlers die trainen of vragen beantwoorden worden geblokkeerd op advertentiepagina's, zoek-crawlers niet. Voor Nederlandse webshops en uitgevers wordt de standaardinstelling een strategische keuze.

Micron: het geheugentekort komt maar deels door AI
Nieuws
5 min

1 jul 12:18

Micron: het geheugentekort komt maar deels door AI

Micron-topman Mehrotra wijt het wereldwijde geheugentekort niet alleen aan de AI-boom, maar ook aan jarenlange prijsdruk en onderinvestering. Die duiding verandert het inkoopmoment voor elke ondernemer die hardware koopt.

BIS waarschuwt: een AI-zeepbel bedreigt nu krediet en groei wereldwijd
Nieuws
6 min

28 jun 12:21

BIS waarschuwt: een AI-zeepbel bedreigt nu krediet en groei wereldwijd

De Bank for International Settlements zet een abrupt einde van de AI-investeringsgolf op één lijn met inflatie en schuld als toprisico. De zwakke schakel is krediet, en dat raakt elk bedrijf dat op AI-infrastructuur bouwt.