Een mensenhand en een robothand die naar elkaar reiken voor een scherm met AI-tekst
Nieuws23 juni · 12:165 min leestijd

Cloudflare en de grote browsers lanceren PACT: het einde van de captcha

Cloudflare, Chrome, Firefox, Edge en Shopify werken samen aan PACT, een cryptografisch protocol dat captcha's vervangt zonder bezoekers te volgen. Voor elke webshop met een inlog of formulier verandert dat de afweging tussen botbescherming en gebruiksgemak.

Iedereen die online iets bestelt of inlogt kent het ritueel: kies alle verkeerslichten, typ de wazige letters over, vink aan dat je geen robot bent. Captcha's zijn al jaren de norm voor botbescherming, maar ze kosten gebruikers tijd, frustreren juist de echte klanten en lekken vaak data naar derden. Cloudflare kondigde op 22 juni samen met de makers van de grootste browsers een alternatief aan dat daar een einde aan moet maken: PACT, oftewel Private Access Control Tokens.

Het bijzondere zit niet zozeer in de techniek als wel in wie er meedoen. Cloudflare werkt aan PACT samen met Mozilla (Firefox), Google (Chrome), Microsoft (Edge) en Shopify, vrijwel het hele browserlandschap plus een van de grootste e-commerceplatforms. Als die partijen een gedeelde standaard achter zich krijgen, kan een protocol in korte tijd op miljarden apparaten landen.

Hoe PACT werkt

Het idee is simpel uit te leggen. Een site die jou al goed kent en redelijk zeker weet dat je een mens bent, een platform waar je bent ingelogd bijvoorbeeld, geeft je browser een anoniem token mee. Zie het als een voucher die bevestigt: deze bezoeker is vertrouwd. Bezoek je daarna een andere site, dan toont je browser dat token om aan te tonen dat er een mens achter de schermen zit, zonder dat de tweede site kan zien wie je bent of welke pagina's je eerder bezocht.

De cryptografie zorgt ervoor dat een token niet te herleiden is tot jou en niet gebruikt kan worden om je over sites heen te volgen. Het bewijst alleen "echt mens", niet "wie". Daarmee bouwt PACT voort op Privacy Pass, een standaard die Cloudflare al sinds 2017 gebruikt en die Apple onder de naam Private Access Tokens al jaren in iOS en macOS heeft zitten. Nieuw is dat de overige browsers nu aanhaken op een gezamenlijk protocol.

Niet alle bots zijn de vijand

De timing is geen toeval. Een groeiend deel van het webverkeer is geautomatiseerd, en bij veel sites komt er inmiddels meer verkeer van bots dan van mensen. Dat dwingt site-eigenaren tot steeds botter geweld: agressieve captcha's en blokkades die net zo goed echte klanten raken. "Een lawine aan geautomatiseerd verkeer dwingt sites tot grove verdedigingsmiddelen", aldus Mozilla-CTO Bobby Holley in de aankondiging, die stelt dat het beter kan met behoud van privacy en minder ergernis.

Interessant is dat PACT niet bedoeld is om alle bots buiten te houden. Het wil onderscheid maken tussen schadelijke automatisering en legitieme AI-agenten die namens een mens handelen. Dat sluit precies aan op een verschuiving die ik eerder beschreef: de nieuwe klant van je webshop is steeds vaker een AI-agent die namens een mens bestelt. Een protocol dat zo'n agent kan toelaten terwijl het kwaadwillende scrapers weert, is voor webshops die meegaan in agentic commerce relevant.

Een belangrijke open vraag blijft nog onbeantwoord: wie geeft die vertrouwenstokens precies uit? De aankondiging laat in het midden of dat de webshops zelf zijn, Cloudflare, of een derde partij, en dat bepaalt straks wie de feitelijke poortwachter van het web wordt.

Wat dit voor jou betekent

Voor nu is PACT een aankondiging, geen product: de partijen committeren zich aan het ontwikkelen en standaardiseren van het protocol, maar er is nog geen releasedatum. Verwacht dus niet dat je captcha morgen verdwijnt.

Toch is dit het volgen waard als je een webshop, SaaS-dienst of welke site dan ook met een inlog- of inschrijfformulier draait. De belofte raakt twee dingen die normaal botsen. Aan de ene kant gebruiksgemak: minder captcha's betekent minder afhakers bij je kassa en je aanmeldformulier. Aan de andere kant compliance: een botbescherming die bewijsbaar geen bezoekers volgt, past beter bij de AVG dan veel huidige captcha- en fingerprinting-oplossingen, die juist data naar derden lekken. Dat een privacyvriendelijke aanpak nu uit de hoek van de grote browsers zelf komt, maakt de kans groot dat het een echte standaard wordt in plaats van een nicheproduct.

Mijn advies: ga niets ombouwen op basis van een aankondiging, maar zet PACT op je radar. Zodra browsers het ondersteunen, wordt het een knop die je omzet, en dan wil je weten of jouw bot- of captcha-leverancier meebeweegt. De richting is duidelijk: minder horden voor je echte klanten, en bescherming die niet ten koste gaat van hun privacy.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Botbescherming zonder frictie

Of het nu om captcha's, je inlogflow of een AI-agent gaat die namens klanten bestelt: ik denk met je mee, ontwerp de oplossing en bouw en automatiseer hem end-to-end, self-hosted waar dat kan. Zo houd je je klanten zonder horden binnen en je data bij jou.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Genoemde integraties

Dit artikel noemt deze tools. Ik koppel ze op maat aan je eigen systemen.

Gerelateerde artikelen

Googles reCAPTCHA wil je hand op video, en is nu al te omzeilen
Nieuws
3 min

1 jul 15:48

Googles reCAPTCHA wil je hand op video, en is nu al te omzeilen

Google test een reCAPTCHA die je vraagt een handgebaar voor de camera te maken. Het raakt de privacy van je bezoekers, en onderzoekers omzeilden de check al met een simpele stockfoto via een virtuele camera.

Je cryptografie post-quantum-proof maken: van inventaris tot migratie in golven
Gids
9 min

25 jun 09:00

Je cryptografie post-quantum-proof maken: van inventaris tot migratie in golven

Een praktisch stappenplan om je organisatie quantumveilig te maken: inventariseer waar encryptie zit, prioriteer op risico, kies de NIST-standaarden en rol hybride uit in golven.

Je webshop klaarstomen voor AI-agentklanten: structured data, productfeed en betaalflow
Gids
9 min

23 jun 21:05

Je webshop klaarstomen voor AI-agentklanten: structured data, productfeed en betaalflow

Een groeiend deel van je klanten is een AI-agent die je catalogus leest in plaats van bekijkt. Zo maak je je webshop vindbaar en koopbaar met schema.org, een productfeed en een agentic betaalflow.

Apple onthult 'Siri AI', maar de EU krijgt hem niet op de iPhone
Nieuws
5 min

8 jun 11:36

Apple onthult 'Siri AI', maar de EU krijgt hem niet op de iPhone

Apple presenteerde op WWDC 2026 een compleet herbouwde Siri. Het grote nieuws voor Nederlandse ondernemers: door de DMA komt de nieuwe Siri AI voorlopig niet naar iPhone en iPad in de EU.

Je hebt opgeschreven wat je AI-agent mag. Alleen weet niemand wie hij is.
Inzicht
7 min

9 jul 13:03

Je hebt opgeschreven wat je AI-agent mag. Alleen weet niemand wie hij is.

AI-agenten krijgen nu een eigen digitale identiteit, van Okta en de Linux Foundation tot Estland. Wie zijn agent op geleende inloggegevens laat draaien, verliest het zicht op wie er namens hem handelt.

Apple verliest EU-zaak over App Store en iOS-regels
Nieuws
4 min

8 jul 12:11

Apple verliest EU-zaak over App Store en iOS-regels

Het EU-Gerecht wees Apple's verzet tegen de poortwachterstatus voor de App Store en iOS af. Voor Nederlandse ondernemers die via de App Store verkopen, blijven alternatieve app stores en externe betaalwegen zo overeind, al kan Apple nog in hoger beroep.