Sumário Executivo
Uma mudança fundamental ocorreu em 2024: pela primeira vez em uma década, o tráfego automatizado de bots excedeu a atividade humana na internet. Os bots agora geram 51 % de todo o tráfego web, relegando os usuários humanos à condição de minoria online. Isso não é uma tendência gradual — é uma travessia de limite que redefine como as organizações devem pensar sobre tráfego web, custos de infraestrutura e postura de segurança.
A aceleração é impulsionada pela inteligência artificial. Os Grandes Modelos de Linguagem democratizaram a criação de bots, permitindo que atacantes com habilidades técnicas mínimas implantem automação sofisticada em escala. O tráfego de bots impulsionado por IA disparou 300 % ano a ano, com bad bots especificamente crescendo de 32 % para 37 % de todo o tráfego — o sexto ano consecutivo de aumento. Enquanto isso, os crawlers de treinamento de IA da OpenAI, Anthropic e Meta estão consumindo volumes sem precedentes de conteúdo web, alterando fundamentalmente a relação entre criadores de conteúdo e plataformas de IA.
As implicações empresariais são imediatas e mensuráveis. A fraude de account takeover causou US$ 13 bilhões em perdas em 2023. O web scraping erode até 14,7 % da receita anual de empresas afetadas. Os custos de infraestrutura inflam à medida que servidores processam milhões de requisições ilegítimas. Para as equipes de segurança, o desafio não é mais distinguir tráfego bom de ruim — é operar em um ambiente em que visitantes humanos legítimos são genuinamente minoria.
Cenário de Bots em 2025: Números-Chave
O tráfego de bots excedeu a atividade humana pela primeira vez em uma década
Imperva Bad Bot Report 2025Bots maliciosos como parcela do tráfego total da internet, acima dos 32 % em 2023
ImpervaRequisições de bad bot bloqueadas pela rede global da Imperva em 2024
ImpervaComposição do Tráfego Web: 2023 vs 2024
| Tipo de Tráfego | 2023 | 2024 | Variação | Implicação |
|---|---|---|---|---|
| Tráfego Humano | 52,6 % | 49 % | -3,6 % | Os humanos agora são minoria dos visitantes web |
| Bad Bots | 32 % | 37 % | +5 % | Sexto ano consecutivo de crescimento |
| Bons Bots | 15,4 % | 14 % | -1,4 % | Crawlers de busca, monitores etc. |
| Total Automatizado | 47,4 % | 51 % | +3,6 % | Limite cruzado em 2024 |
IA: O Multiplicador de Força por Trás do Crescimento dos Bots
A inteligência artificial transformou o cenário dos bots de duas maneiras distintas. Primeiro, a IA generativa e as plataformas de bots como serviço eliminaram as barreiras técnicas para lançar ataques de bots. O que antes exigia habilidades especializadas de programação agora exige apenas uma assinatura e habilidade básica de prompt. O resultado: ataques simples de bots aumentaram de 40 % para 45 % de todo o tráfego de bots, à medida que atacantes novos e menos sofisticados entraram no mercado.
Segundo, a IA melhorou drasticamente a eficácia dos bots. O machine learning permite que os bots imitem padrões de comportamento humano, resolvam CAPTCHAs e se adaptem às medidas defensivas em tempo real. Bots avançados agora representam os 55 % restantes dos ataques, e sua sofisticação continua a aumentar. Apenas o bot ByteSpider — associado à ByteDance, controladora do TikTok — foi responsável por 54 % de todos os ataques habilitados por IA, seguido por AppleBot (26 %), ClaudeBot (13 %) e ChatGPT User Bot (6 %).
A economia favorece os atacantes. Um único operador pode agora implantar e gerenciar infraestrutura de bots que teria exigido uma equipe de desenvolvedores há apenas três anos. O retorno do investimento para operações de credential stuffing, scalping e scraping nunca foi tão alto, o que explica o crescimento incessante apesar das tecnologias defensivas aprimoradas.
Evolução da Participação de Mercado dos Crawlers de IA
| Crawler | Julho de 2024 | Julho de 2025 | Variação | Propósito Principal |
|---|---|---|---|---|
| Googlebot | 39 % | 39 % | — | Indexação de buscas |
| GPTBot (OpenAI) | 4,7 % | 11,7 % | +7 % | Treinamento de IA |
| ClaudeBot (Anthropic) | 6,0 % | 9,9 % | +3,9 % | Treinamento de IA |
| Meta-ExternalAgent | 0,9 % | 7,5 % | +6,6 % | Treinamento de IA |
| Amazonbot | 10,2 % | 5,9 % | -4,3 % | Serviços Alexa/AWS |
| Bytespider (ByteDance) | 14,1 % | 2,4 % | -11,7 % | Treinamento de IA / TikTok |
As empresas de IA consomem muito mais conteúdo do que devolvem em tráfego de referência. Os crawlers da Anthropic visitam de 38.000 a 286.000 páginas para cada visitante que encaminham de volta aos publishers. A razão da OpenAI fica em torno de 1.000:1. Essa assimetria significa que os criadores de conteúdo arcam com o custo de infraestrutura do treinamento de IA enquanto recebem um benefício mínimo de tráfego. O tráfego de referência do Google para sites de notícias caiu 15 % entre janeiro e abril de 2025 — coincidindo com a expansão dos resumos de busca gerados por IA, que reduzem os cliques para as fontes originais.
Distribuição dos Propósitos dos Crawlers de IA
Atividade de rastreamento de IA dedicada ao treinamento de modelos (acima dos 72 % em 2024)
CloudflareAnálise do Tráfego de Bots por Indústria
| Indústria | Tráfego de Bad Bot | Participação nos Ataques | Tipo de Ataque Principal | Nível de Risco |
|---|---|---|---|---|
| Viagens | 48 % | 27 % | Scraping de tarifas, reservas falsas | Crítico |
| Varejo | 59 % | 15 % | Scraping de preços, scalping | Crítico |
| Serviços Financeiros | 28 % | 22 % (ATO) | Account takeover, fraude | Crítico |
| Telecom e ISP | 24 % | 18 % (ATO) | Account takeover | Alto |
| Computação e TI | 22 % | 17 % (ATO) | Credential stuffing | Alto |
| Saúde | 18 % | 8 % | Scraping de dados, fraude | Alto |
| Games | 35 % | 12 % | Cheating, roubo de contas | Alto |
O setor de viagens passou por uma mudança dramática em 2024, tornando-se a indústria mais atacada, com 27 % de todos os ataques de bots (acima dos 21 % em 2023). Quase metade de todo o tráfego para sites de viagens — 48 % — consiste em bots maliciosos, em comparação com apenas 47 % de visitantes humanos e 5 % de bots benéficos. Os ataques simples saltaram de 34 % para 55 % da atividade de bots direcionada a viagens, indicando um influxo de atacantes novos e menos sofisticados explorando o setor. Scraping de tarifas, acúmulo de inventário e ataques de reservas falsas impactam diretamente a receita e a experiência do cliente.
Tipos de Ataques de Bad Bots e Impacto nos Negócios
Ataques automatizados que testam combinações de usuário e senha roubadas, explorando o reuso de senhas entre serviços. Os incidentes de account takeover aumentaram 40 % em 2024, com os serviços financeiros respondendo por 22 % dos ataques. O impacto econômico: US$ 13 bilhões em perdas de fraude por ATO somente em 2023, com perda média por vítima de US$ 12.000 por incidente. A IA e o machine learning aceleraram esses ataques ao permitir a resolução de CAPTCHAs em tempo real e a imitação de comportamento humano.
Extração automatizada de conteúdo que rouba dados de preço, informações de produto e conteúdo proprietário. Para empresas com precificação dinâmica, o scraping distorce sinais de demanda e erode a vantagem competitiva. O impacto pode chegar a 14,7 % da receita anual do site. Os scrapers de IA geraram mais de 120 milhões de requisições somente no 2º trimestre de 2025, sobrecarregando a infraestrutura e disparando eventos caros de auto-scaling.
Bots que compram produtos de alta demanda mais rápido que os clientes humanos, criando escassez artificial para revenda. No 2º trimestre de 2025, a revenda impulsionada por bots de bonecos Labubu gerou markups de 25-127 %, com apenas dois cook groups coordenando 3.160 checkouts automatizados. Para os varejistas, os ataques de scalping compreendem mais de 40 % das requisições de checkout em produtos de alta demanda — quatro vezes a média da indústria.
44 % do tráfego avançado de bots agora visa APIs em vez de interfaces web tradicionais. As APIs frequentemente têm um nível menor de proteção contra bots em comparação com as aplicações web, tornando-as alvos atraentes. Serviços financeiros, serviços empresariais, telecom e saúde respondem por 75 % dos ataques de bots direcionados a APIs. O abuso de APIs permite exfiltração de dados em escala enquanto evade as defesas tradicionais focadas em web.
Bots que adicionam itens a carrinhos sem completar compras, tornando o inventário indisponível a clientes legítimos. Combinados com técnicas de DDoS de aplicação, esses ataques podem efetivamente paralisar operações de e-commerce sem acionar as defesas tradicionais contra DDoS. O resultado: vendas perdidas, clientes frustrados e reputação de marca prejudicada.
A Economia dos Ataques de Bots
Porcentagem dos recursos de servidor processando requisições de bots
ImpervaFramework Corporativo de Defesa Contra Bots
A defesa contra os ataques modernos de bots requer ir além da detecção baseada em assinaturas. Os bots impulsionados por IA se adaptam em tempo real, imitam o comportamento humano e exploram proxies residenciais para parecer legítimos. Uma defesa eficaz exige uma abordagem em camadas que combine múltiplos métodos de detecção com análise comportamental contínua.
Implementar Análise Comportamental
Implante detecção baseada em ML que analisa movimentos de mouse, padrões de digitação e comportamento de navegação. As regras estáticas falham contra bots que randomizam suas assinaturas; a análise comportamental identifica a automação independentemente de quão bem ela imite atributos humanos.
Proteger APIs como Superfície de Ataque Primária
44 % dos bots avançados visam APIs. Implemente rate limiting específico para APIs, validação de autenticação e detecção de anomalias. Monitore padrões incomuns em sequências de chamadas de API, consumo de respostas e distribuição geográfica.
Implantar Fingerprinting de Dispositivos
Colete e analise atributos do dispositivo, incluindo configuração de navegador, fontes instaladas, renderização canvas e características WebGL. Usuários legítimos exibem fingerprints consistentes; bots frequentemente apresentam perfis de dispositivo impossíveis ou que mudam rapidamente.
Desafiar Sessões Suspeitas
Implemente desafios adaptativos que escalem com base em sinais de risco. Comece com desafios invisíveis, evolua para CAPTCHAs e, por fim, bloqueie a automação persistente. Os desafios modernos devem resistir a capacidades de resolução impulsionadas por IA.
Monitorar Uso de Proxy Residencial
Bots sofisticados roteiam por endereços IP residenciais para evadir o bloqueio baseado em IP. Detecte padrões de proxy residencial por meio de análise de comportamento de conexão, pontuação de reputação de IP e verificações de consistência geográfica.
Estabelecer Linhas de Base e Alertas de Tráfego
Conheça seus padrões normais de tráfego. Os ataques de bots frequentemente se manifestam como picos súbitos de tráfego, distribuições geográficas incomuns ou taxas de conversão anormais. O alerta em tempo real permite resposta rápida antes que danos significativos ocorram.
Capacidades de Gerenciamento de Bots do TR7
A plataforma de segurança do TR7 oferece proteção abrangente contra todo o espectro de ameaças de bots:
Detecção Impulsionada por IA
Modelos de machine learning treinados em bilhões de requisições distinguem usuários legítimos de bots sofisticados, incluindo aqueles que usam IA para imitar o comportamento humano.
Fingerprinting Avançado
O fingerprinting de dispositivos em múltiplas camadas identifica a automação mesmo quando os bots falsificam atributos do navegador e rotacionam por proxies residenciais.
Proteção de APIs
Segurança de APIs especialmente projetada que detecta e bloqueia abuso automatizado, violações de rate limiting e ataques de credential stuffing direcionados a serviços de back-end.
Análise em Tempo Real
Visibilidade abrangente da composição do tráfego com alertas instantâneos quando a atividade de bots excede limiares ou visa endpoints críticos.
Desafios Adaptativos
Sistema de desafios baseado em risco que minimiza o atrito para usuários legítimos enquanto cria barreiras intransponíveis para o tráfego automatizado.
Gerenciamento de Crawlers de IA
Controle granular sobre crawlers de treinamento de IA com a capacidade de permitir, limitar a taxa ou bloquear bots específicos com base na política organizacional.
O limite de 51 % não é um ponto final — é um ponto de inflexão. À medida que as capacidades de IA avançam, tanto o tráfego legítimo quanto o malicioso de bots continuarão crescendo. As organizações devem esperar que os bots representem 60 % ou mais do tráfego web nos próximos dois anos. A resposta estratégica não é bloquear toda a automação — isso nem é possível nem desejável — mas construir infraestrutura e modelos de segurança que pressuponham que os bots são a maioria e otimizar para identificar e atender de forma eficaz a minoria humana.
Perguntas Frequentes
Os bons bots servem a propósitos legítimos: crawlers de motores de busca indexando conteúdo, serviços de monitoramento verificando uptime e agregadores coletando dados autorizados. Eles normalmente se identificam, respeitam o robots.txt e operam de forma transparente. Os bad bots se envolvem em atividades maliciosas: credential stuffing, scraping de conteúdo, manipulação de preços e fraude. Eles disfarçam sua identidade, ignoram restrições de acesso e operam de forma encoberta para evitar a detecção.
As APIs frequentemente recebem menos atenção de segurança do que as aplicações web, apesar de lidarem com dados e transações sensíveis. Elas são projetadas para comunicação máquina a máquina, tornando o tráfego de bots mais difícil de distinguir do uso legítimo. As APIs também oferecem acesso direto a dados sem navegar por interfaces web, permitindo extração de dados mais rápida e eficiente. Em 2024, 44 % do tráfego avançado de bots visou APIs.
Crawlers de busca tradicionais como o Googlebot indexam conteúdo para servir resultados de busca, retornando tráfego aos publishers por meio de referências. Os crawlers de IA como GPTBot e ClaudeBot consomem principalmente conteúdo para treinamento de modelos, com retorno mínimo de tráfego — a razão de rastreamento para referência da Anthropic ultrapassa 38.000:1. Isso cria um modelo de extração de valor em que as empresas de IA se beneficiam do conteúdo sem compensar os publishers por meio de tráfego.
Os CAPTCHAs tradicionais são cada vez menos eficazes. Bots impulsionados por IA podem resolver muitos tipos de CAPTCHA mais rápido que os humanos, e serviços de resolução de CAPTCHA oferecem soluções automatizadas em escala. A defesa moderna contra bots exige análise comportamental, fingerprinting de dispositivos e desafios adaptativos que escalem com base em sinais de risco, em vez de depender da verificação em um único ponto.
Viagens (48 % de tráfego de bad bot), Varejo (59 %) e Serviços Financeiros (22 % dos ataques de ATO) enfrentam o maior risco. Contudo, qualquer organização com dados valiosos, contas de usuário ou funcionalidade de e-commerce é um alvo. A democratização das ferramentas de bots significa que mesmo empresas menores enfrentam ataques automatizados sofisticados.
Conclusão
A internet cruzou um limite em 2024. Os bots agora geram mais tráfego que os humanos, e a diferença vai se ampliar. Essa mudança não é inerentemente negativa — a automação possibilita serviços valiosos, da indexação de buscas ao monitoramento de segurança. O desafio está na composição: os bad bots cresceram pelo sexto ano consecutivo, representando agora 37 % de todo o tráfego. A IA acelerou ambas as tendências, possibilitando ataques mais sofisticados ao mesmo tempo em que aprimora as capacidades defensivas.
Para as equipes corporativas de segurança, as implicações são claras. As linhas de base de tráfego e os modelos de segurança construídos sob a suposição de tráfego majoritariamente humano estão obsoletos. A detecção de bots não pode mais ser uma preocupação secundária ou um recurso de checklist — precisa ser uma competência central. As organizações que prosperarão serão aquelas que construirão infraestrutura capaz de processar tráfego majoritariamente de bots com eficiência, identificando e priorizando com precisão a minoria humana.
A pergunta não é mais se sua organização enfrenta tráfego significativo de bots. Enfrenta. A pergunta é se você consegue distinguir os 49 % de visitantes humanos dos 51 % que não são — e se sua infraestrutura, postura de segurança e modelo de negócio estão projetados para essa nova realidade.
Referências e Fontes
Fonte primária para estatísticas de tráfego de bots, segmentações por indústria e tendências de ataque. O 12º relatório anual analisa dados de 13 trilhões de requisições bloqueadas. Acesso: https://www.imperva.com/resources/resource-library/reports/2025-bad-bot-report/
Fonte de dados sobre participação de mercado dos crawlers de IA, razões entre rastreamento e referência e a distribuição entre crawlers de treinamento e busca. Acesso: https://blog.cloudflare.com/crawlers-click-ai-bots-training/
Fonte de estatísticas de crescimento do tráfego de bots de IA (aumento de 300 % YoY) e tendências de ataques a APIs. Acesso: https://www.akamai.com/security-research/the-state-of-the-internet
Fonte de estatísticas de ataques de scalping, volumes de scrapers de IA e dados de impacto no setor de varejo. Acesso: https://www.kasada.io/reports/q2-2025-bot-attack-trends/
Fontes de perdas com fraude de ATO (US$ 13 bi), custos por vítima (US$ 12 mil) e estatísticas de impacto na receita da Netacea, DataDome e pesquisas da indústria.
Defenda-se Contra a Maioria dos Bots
A plataforma de gerenciamento de bots do TR7 combina detecção impulsionada por IA, análise comportamental e proteção de APIs para identificar e mitigar ameaças automatizadas. Veja como distinguimos os 49 % humanos dos 51 % de bots.
Explorar Proteção contra Bots