Secondo gli ultimi dati analizzati da Barracuda, i bot di scraping basati sulla GenAI ‘soffocano’ i siti web con fino a mezzo milione di richieste di informazioni ogni giorno. In un nuovo report , viene evidenziato il comportamento incessante dei GenAI bot. Questi bot rientrano in una categoria emergente definita da Barracuda ‘bot grigi’, ovvero programmi automatizzati non propriamente malevoli, ma che circolano in rete per estrarre informazioni da siti e applicazioni web.
La crescita dei GenAI bot, perché è un pericolo
Dai dati di rilevamento di Barracuda è emerso che:
– tra dicembre 2024 e febbraio 2025, le applicazioni web hanno ricevuto milioni di richieste da bot basati su GenAI come ClaudeBot e Bytespider di TikTok.
– Un’applicazione web monitorata ha ricevuto 9,7 milioni di richieste dai GenAI bot di scraping in 30 giorni.
– Un’altra applicazione web sottoposta a monitoraggio ha ricevuto oltre mezzo milione di richieste da questo tipo di bot in un solo giorno.
– L’analisi del traffico dei bot grigi indirizzato a un’ulteriore applicazione web tracciata ha rilevato che le richieste sono rimaste relativamente costanti nell’arco di 24 ore, con una media di circa 17.000 richieste all’ora.
Al limite della legittimità
Rahul Gupta, Senior Principal Software Engineer, Application Security Engineering di Barracuda I bot che noi chiamiamo ‘grigi’ stanno sfumando i confini dell’attività legittima online. Sono in grado di estrarre grandi volumi di dati sensibili, proprietari o commerciali. Inoltre possono sovraccaricare il traffico delle applicazioni web e portare a un’interruzione delle operazioni. Lo scraping costante operato da questi bot può degradare le prestazioni del web e la loro presenza può distorcere le analisi dei siti. Portando a generare insight fuorvianti e a compromettere il processo decisionale. Per molte organizzazioni, la gestione del traffico di questi bot è diventata ormai una componente chiave delle strategie di sicurezza delle applicazioni.
Ruolo e limite dei file robots.txt
Per difendersi dai bot grigi basati sull’AI generativa e dall’estrazione delle informazioni, i siti web possono utilizzare un file robots.txt. Ovvero una riga di codice aggiunta al dominio che indica a uno scraper di non prelevare i dati da quella fonte. Tuttavia, robots.txt non è legalmente vincolante, è necessario aggiungere il nome specifico del bot e non tutti i proprietari di bot basati su GenAI rispettano le linee guida. A tal proposito, le organizzazioni possono migliorare le loro difese contro questi bot indesiderati implementando una protezione in grado di rilevare e bloccare la loro attività. Inoltre, diverse funzionalità avanzate, quali tecnologie di AI e machine learning all’avanguardia, possono aiutare a tenere sotto controllo la minaccia dei bot grigi. E questo grazie al rilevamento basato sul comportamento, all’apprendimento automatico adattivo, al fingerprinting completo e al blocco in tempo reale.
