Residência de dados configurável
Como um visitante se torna uma decisão.
Um percurso guiado pelo motor por trás da pontuação — como o navegador é lido, transformado numa leitura de risco calibrada e devolvido ao seu código. Acompanhe-o do início ao fim: os sinais que medimos, as ameaças que detetamos e os resultados por trás de cada decisão.
Cada dispositivo conta uma história. Nós detetamos as ficções.
Detenha fraudes e bots sem criar atrito para os clientes que tanto se esforçou por conquistar. Obtenha uma leitura de risco clara sobre cada visitante — e decida o que fazer com ela.
Segurança agêntica e inteligência do navegador, agora criadas para a web agêntica — opere seu console com um assistente de IA integrado, permita que seus agentes leiam a Noxtica por um servidor MCP somente leitura e governe quais agentes você confia.
Do sinal à decisão.
Quatro etapas. O navegador é lido, o resultado é entregue com segurança ao seu backend, seu servidor recebe uma leitura clara de risco e seu código decide.
Um script leve lê o navegador do visitante no instante em que ele chega — discretamente, sem deixar sua página mais lenta.
O que ele vê é entregue com segurança ao seu backend — não pode ser falsificado, copiado nem repetido no caminho.
Seu servidor verifica e recebe de volta uma leitura clara de risco, com os motivos por trás dela — em cerca de meio segundo.
Seu código decide: bloquear, desafiar, observar ou liberar. Sua política, seu contexto, sua decisão.
Uma leitura. Um veredito. Os motivos anexados.
87
Baixo risco — permitir
Amostra ilustrativa — não é tráfego ao vivo.
Por que não te dizemos 'isso é um bot.'
A maioria das ferramentas diz o que você quer ouvir: bot ou humano. Limpo, simples e muitas vezes errado — sem jeito de ver como chegaram lá. Ou você confia na resposta, ou não.
Clientes reais e atacantes reais podem se parecer surpreendentemente. A pergunta útil não é 'isso é um bot' — é 'quão incomum é este visitante e quão difícil seriam de falsificar as partes suspeitas?'. É isso que respondemos.
// Não dizemos apenas 'isso é um bot.'
// Damos a você uma leitura clara de risco — e as razões.
// Você decide.
Quando um flag recai sobre um cliente real, seu time consegue explicá-lo — para o jurídico, para o produto, para o cliente. Toda decisão vem com suas razões, então não há nada para aceitar por fé e nada que você não possa ajustar.
Você não recebe um sim/não de caixa-preta. Recebe uma leitura clara de risco, um nível de confiança e as razões por trás de ambos — o recibo. A decisão final é sua, porque só seu time sabe o que está em jogo.
A maioria das ferramentas te entrega um sim/não e esconde como chegou lá. Nós damos uma leitura clara de risco, com as razões — e deixamos seu time decidir.
Cinco níveis claros, não um sim/não cru — e nunca um bloqueio silencioso.
O que medimos.
Lemos quatro coisas sobre cada visitante — o navegador, a rede, o dispositivo e como a pessoa se comporta. Juntas, elas distinguem um cliente real de uma falsificação esperta.
O navegador é real?
Inteligência do navegador
Pegue tráfego automatizado, navegadores mascarados e visitantes sintéticos no momento em que chegam — antes de alcançarem seu signup, login ou checkout. Clientes reais passam. Os falsos, não.
A rede é segura?
Sinais de rede
Identifique origens suspeitas e infraestrutura de alto risco sem punir tráfego legítimo. Trabalhadores remotos, usuários de VPN e redes corporativas continuam bem-vindos. Fontes de fraude no atacado são sinalizadas.
O dispositivo é real?
Verificação de hardware
Verifique o dispositivo real por trás da sessão — não só o software rodando nele. Usuários genuínos em dispositivos genuínos passam sem esforço. Bots em infraestrutura descartável compartilhada vêm à tona imediatamente.
O usuário é real?
Fingerprints comportamentais
Distinga uma pessoa real de um script pelo ritmo de como interage com a página. Humanos hesitam, se corrigem, exploram. A automação se move com uma precisão reveladora que não consegue esconder.
E uma que policiamos: Know Your Agent
Estas quatro camadas medem visitantes. Agentes de IA e bots são diferentes — você não apenas os mede, você decide se confia neles. O Know Your Agent permite permitir ou negar agentes por tenant por thumbprint JWK ou host Signature-Agent, integrado com a verificação Web Bot Auth.
O que detectamos.
As ameaças que te custam — automação, fraude e abuso — detectadas sem desafiar por engano os clientes reais.
Detectar fraude não é uma única verificação. O abuso real mistura tráfego automatizado, origens suspeitas e comportamentos que não fazem sentido. Transformamos tudo isso no tipo de decisão que sua equipe realmente toma — bloquear, desafiar, permitir, observar.
Bots e tráfego automatizado
Navegadores headless, frameworks de automação de navegador e abuso por script — incluindo as variantes 'stealth' projetadas para escapar da detecção. Tanto a faixa rápida quanto a lenta são pegas.
Reconheça tráfego automatizado antes que chegue ao login, signup ou checkout.
Sessões que escondem o que são
Sessões em que o navegador mente sobre sua própria fingerprint. Saída de canvas forjada, APIs runtime manipuladas, extensões anti-fingerprint rodando contramedidas agressivas.
Traga à tona tentativas deliberadas de evasão sem bloquear escolhas honestas de privacidade.
Origens suspeitas
Tráfego vindo de datacenters, proxies anonimizadores, protocolos depreciados e faixas conhecidas como maliciosas. Sinalizamos os padrões sem bloquear usuários reais que por acaso estão em uma VPN corporativa.
Identifique o sinal de fraude no atacado — sem disparar à toa em trabalhadores remotos.
Usuários que prezam privacidade, tratados com justiça
Tor, Brave Strict, Firefox-RFP, LibreWolf — reconhecidos e tratados com leniência calibrada. Usuários conscientes de privacidade continuam bem-vindos; bots se escondendo atrás de navegadores de privacidade, não.
Acolha usuários legítimos de privacidade enquanto pega os atores escondidos entre eles.
Dispositivos falsos e descartáveis
Olhamos para além do navegador, até o próprio dispositivo, para que emuladores e máquinas virtuais descartáveis não possam se passar por hardware real. Os bots que vencem checagens só do navegador são pegos aqui.
Verifique que o dispositivo é o que diz ser — não só o navegador rodando nele.
Atividade que não se comporta como humana
A forma como uma pessoa move o mouse, digita e rola a página não se parece em nada com um script. Pessoas reais hesitam e exploram; a automação se entrega com uma precisão reveladora.
Pegue as sessões que parecem humanas no papel mas não se comportam como uma pessoa.
A requisição de um visitante é lida através das ameaças que detectamos, que se combinam em uma única leitura clara de risco.
- Requisição do navegador
- Leitura clara de risco
- Sua decisão
Cada uma te dá uma leitura clara de risco e um nível de confiança — não um sim/não cego. A decisão final é da sua equipe. Nós apenas garantimos que aquilo sobre o que você age seja honesto.
Veja o que detetamos.
Seis padrões de ataque, cada um derivado de uma categoria de ameaça acima — repetidos para mostrar a leitura de risco calibrada e a decisão que ela desencadeia.
- Enxurrada de automação headless
94/ 100 de risco
BLOQUEADOlido em 410msUma onda de sessões headless e roteirizadas atingindo o login em sincronia.
- Sessão com fingerprint falsificado
78/ 100 de risco
VERIFICARlido em 470msUm navegador mentindo sobre sua própria saída de canvas e APIs de runtime.
- Origem de proxy de datacenter
86/ 100 de risco
BLOQUEADOlido em 350msUma solicitação roteada por uma faixa de datacenter anonimizadora.
- Visitante em navegador de privacidade
24/ 100 de risco
PERMITIRlido em 340msUma pessoa real em um navegador de privacidade reforçado — liberada.
- Máquina virtual descartável
90/ 100 de risco
BLOQUEADOlido em 520msUm dispositivo emulado se passando por hardware de consumidor real.
- Padrão de interação não humano
71/ 100 de risco
VERIFICARlido em 430msUm formulário preenchido com uma precisão reveladora que nenhuma pessoa usa ao digitar.
Padrões ilustrativos derivados das categorias acima — não são dados de clientes. As pontuações situam-se na mesma escala de 0–100 sobre a qual a sua política atua.
Segurou a linha contra fraudes. Manteve clientes em movimento.
Números da implantação de um parceiro de design inicial — compartilhados anonimamente
- 47%de chargebacks que um parceiro de design cortou nos primeiros 90 dias
- 99.6%dos clientes reais passaram sem qualquer interrupção nessa implantação
- ~500msadicionados a um checkout — uma leitura completa de risco num piscar de olhos
$ noxtica use-case --marketplaceMarketplace
Marketplaces usam a Noxtica para pegar anéis coordenados de contas falsas antes que soterrem vendedores honestos sob avaliações falsas. Logins diferentes, endereços diferentes — mas a mesma configuração automatizada os entrega.
Anéis de contas falsas pegos antes que soterrem seus vendedores honestos.
$ noxtica use-case --financialServiços financeiros
Comerciantes card-not-present usam a Noxtica para adicionar uma checagem extra rápida apenas quando um pagamento parece vir de algum lugar novo. Clientes reais não sentem nada; anéis de fraude batem num muro a cada tentativa.
Uma checagem extra só quando ela se justifica. Clientes reais não sentem nada.
$ noxtica use-case --identityPlataformas sensíveis a identidade
Plataformas passwordless e de magic-link usam a Noxtica para garantir que o link seja aberto pela mesma pessoa que o solicitou. Kits de phishing que repassam o link para outra pessoa são parados na porta.
Magic links abrem só para quem os pediu. O phishing para por aqui.
Quatro públicos. Um único sinal.
Segurança agêntica e inteligência do navegador raramente dizem respeito a apenas uma equipe. O mesmo sinal molda resultados para empresas, plataformas e as pessoas que as utilizam.
Para empresas
Equipes antifraude, engenheiros de segurança, PMs de plataforma. As equipes que pagam quando a fraude entra — e as equipes que pagam quando clientes reais vão embora.
- Reduza chargebacks pegando cadastros falsos antes que custem caro
- Identifique tomadas de conta antes que o atacante entre
- Trilhas prontas para auditoria para SOC 2, ISO 27001 e GDPR
Para plataformas
Marketplaces, redes sociais, plataformas multilaterais. A confiança entre usuários é o negócio inteiro — e barrar contas falsas em escala é o seu fosso.
- Detecte abuso de contas duplicadas sem bloquear usuários reais
- Reduza a carga de moderação trazendo à tona só as contas que parecem suspeitas
- Barre fazendas de avaliações pagas e anéis de review-bombing já no cadastro
Para as pessoas
Usuários finais. O stakeholder pouco discutido. As pessoas que são desafiadas por falso positivo, bloqueadas ou obrigadas a resolver CAPTCHAs só por usarem o Brave.
- Sem CAPTCHAs a menos que algo realmente pareça suspeito
- Pessoas reais em navegadores de privacidade continuam bem-vindas, não punidas
- Nenhum dado pessoal coletado. Sem cookies de rastreio. Sem identidade entre sites.
Para IA e agentes
A web agêntica. Defina quais agentes você confia com o Know Your Agent, opere o console com um assistente de IA integrado e deixe seus próprios agentes lerem a Noxtica por uma integração MCP somente leitura.
Três formas honestas em que somos agênticos.
"Agêntico" é usado a torto e a direito. Eis exatamente o que significa na Noxtica — três capacidades que já estão no ar hoje, sem nenhuma alteração autônoma nos seus sistemas.
Nós operamos o console
Um assistente de IA integrado — movido por Claude, com opções OpenAI, Gemini e xAI — roda no servidor sob a sessão do operador para ler políticas, regras, domínios e distribuição de risco para você, com limites de orçamento por tenant e registro de auditoria completo.
Como o assistente funciona →Seus agentes leem a Noxtica
Um servidor Model Context Protocol (MCP) opcional e somente leitura permite que seus próprios agentes de IA leiam políticas, regras, alertas e distribuição de risco por JSON-RPC, usando tokens bearer com escopo, limitados por taxa e auditados que você mesmo emite — apenas acesso de leitura, nunca de escrita.
Leia a documentação do MCP →Nós policiamos a web agêntica
Know Your Agent (KYA) é um registro defensivo: defina quais agentes de IA e bots você permite ou nega por tenant — por thumbprint JWK ou host Signature-Agent — integrado com a verificação Web Bot Auth.
Explore o Know Your Agent →
Estamos construindo rumo à autocalibração e a ciclos de feedback; hoje, os operadores ajustam políticas e limiares com controle total.
Criada para passar pela revisão de segurança.
A postura de segurança que os revisores perguntam — seis controles que você mesmo pode verificar, sem depender de promessa.
Pronto para GDPR
Código-fonte do SDK aberto
Nenhum dado pessoal coletado
Uma leitura completa de risco em ~500ms
Uma leitura clara, não mágica
Um parceiro, não uma página de preços.
Tudo o que você precisa para entregar com confiança — e nada do que não precisa.
O que está incluído
- Preços transparentes — sem muralha de demo
- onboarding prático com engenheiros reais
- Conforme com GDPR, residência de dados configurável, pronta para SOC 2
- suporte humano direto — sem sequência de vendas
Você viu como ela lê.
Veja o que ela lê no seu tráfego — quinze minutos, sem apresentação.
Perguntas que as equipes fazem primeiro.
As coisas que compradores e engenheiros querem saber logo de cara. O FAQ técnico completo — tamanho do bundle, a API, iframes, limiares — vive na documentação.
Isso vai bloquear erroneamente meus clientes reais?
É exatamente contra isso que construímos. Um cliente bloqueado raramente volta, então os padrões são cautelosos: preferimos deixar um bot escapar a parar erroneamente uma pessoa real. Você recebe uma leitura clara de risco e decide o quanto quer ser rigoroso — e pode ajustar para mais ou para menos conforme aprende com seu próprio tráfego.
Funciona para usuários preocupados com privacidade — Brave, Tor, LibreWolf?
Sim, e eles continuam bem-vindos. Navegadores de privacidade não quebram nada; nós simplesmente os reconhecemos e os tratamos de forma justa, em vez de punir silenciosamente a pessoa por trás deles. Se seu produto é criado para públicos sensíveis, você pode optar por dar mais margem a esses usuários.
E se a Noxtica tiver uma indisponibilidade?
Seu site continua funcionando. Se uma verificação não conseguir nos alcançar a tempo, você recebe de volta um padrão seguro para que seu código possa degradar graciosamente — desafiar em vez de bloquear, por exemplo — em vez de deixar alguém trancado do lado de fora. Assumimos compromisso de 99.95% de disponibilidade e publicamos uma página pública de status.
Precisamos de engenheiros para operar isso?
Um pouco. Um pequeno script entra no seu site e uma única verificação acontece no seu servidor quando você quer uma decisão. Não há nada para hospedar, nada para manter rodando, e o trabalho pesado fica conosco. A maioria das equipes entra no ar em uma tarde — o guia passo a passo está na documentação.
Está em conformidade — GDPR, CCPA, dados da UE?
Sim. Não coletamos dados pessoais de que não precisamos, não armazenamos IP bruto por padrão e mantemos os dados na UE. Assinamos um acordo de processamento de dados, damos suporte a exclusão definitiva sob solicitação e publicamos nossa lista de subprocessadores. Suas equipes de privacidade e jurídico recebem respostas diretas, não evasivas.
Mais na documentação — tamanho do bundle, a API, iframes, ajuste de limiares e o Q&A técnico completo.→ Leia a documentação: FAQ técnico completo