ReCAPTCHA Enterprise: подробный разбор способы распознавания и варианты обхода, какие решатели капчи существуют

Современные сервисы (вебсайты) повсеместно ставят для защиты капчу, усложняя жизнь разработчикам, SEO-специалистам и автоматизаторам (хотя изначально цель не в том, чтобы насолить автоматизаторам, а в том, чтобы минимизировать чрезмерную нагрузку на ресурс от таких вот ребят). Среди большого количества капч особняком стоит Google reCAPTCHA Enterprise – это одна из самых продвинутых систем защиты от ботов в этой линейке. Она способна анализировать поведение пользователей и блокировать подозрительную активность, тем самым серьезно затрудняя распознавание reCAPTCHA Enterprise и обход ее средствами автоматизации. Давайте разберемся, что представляет собой reCAPTCHA Enterprise, чем она отличается от версий v2/v3, и почему ее так сложно обойти (или нет). 

Что такое reCAPTCHA Enterprise и чем она отличается от v2/v3

reCAPTCHA Enterprise – это расширенная версия CAPTCHA от Google, предназначенная для крупных проектов и корпоративных клиентов с повышенными требованиями безопасности. По сути, Enterprise включает в себя функциональность reCAPTCHA v2 и v3, но предоставляет дополнительные возможности, тонкую настройку и более мощные алгоритмы обнаружения ботов. Для понимания, вот основные версии reCAPTCHA и их различия:

• reCAPTCHA v2: Классическая версия, где пользователь должен подтвердить, что он не робот – поставить галочку (“I’m not a robot”), либо решить визуальную задачу (выбрать картинки с определенными объектами), либо пройти аудио-тест. reCAPTCHA v2 может быть в двух режимах: явном (видимый чекбокс или сразу картинки) и невидимом (Invisible reCAPTCHA v2, когда капча появляется только при подозрении после отправки формы). Эта версия непосредственно вовлекает пользователя и по результатам дает бинарный ответ: капча решена (валидный токен) или нет.

• reCAPTCHA v3: Невидимая версия без интерактивных задач для пользователя. Скрипт reCAPTCHA v3 постоянно работает в фоне на странице, отслеживая действия пользователя (движения мыши, прокрутку, время на странице и прочие поведенческие сигналы). В итоге при определенных действиях (например, отправка формы, вход в аккаунт) генерируется токен с оценкой score от 0.0 до 1.0 – вероятность того, что это человек, а не бот. Сам пользователь ничего не решает; от настроек разработчика зависит, что будет дальше с этим результатом (например, если score низкий – вывести дополнительную проверку, показать капчу v2, либо заблокировать действие). reCAPTCHA v3 минимизирует вовлеченность в процесс распознавания для добросовестных пользователей, но требует правильной интерпретации score на стороне сайта.

• reCAPTCHA Enterprise: Enterprise-версия может работать как в режиме v2 (вызывая визуальные задачи при необходимости), так и в режиме v3 (оценка поведения). Для конечного пользователя она мало отличается: есть Enterprise v2 (чекбокс “Я не робот” и задачи) и Enterprise v3 (невидимая). Главное отличие – это бэкэнд и возможности для владельцев сайта (сервиса). reCAPTCHA Enterprise развертывается через Google Cloud и предназначена для платного использования в бизнесе. Она предоставляет более глубинный анализ рисков, 11 уровней градации score (против 4 уровней у бесплатной), причины срабатывания (reason codes), интеграцию с другими защитными мерами (например, WAF – web application firewall, защита от бот-атак на уровне сети), отчеты и статистику в Google Cloud Console, а также поддержку дополнительных сигналов. Например, на мобильных устройствах reCAPTCHA Enterprise может автоматически использовать данные Play Integrity API (проверка целостности устройства) для повышения достоверности проверки. Владельцы сайтов могут настраивать пороговые значения score, просматривать детальные логи срабатываний и получать поддержку от Google. Кроме того, Enterprise версия имеет гарантированную SLA (99.9% аптайма) и сниженное число ложных срабатываний благодаря более сложным алгоритмам и машинному обучению.

Другой важный момент – стоимость. Обычная reCAPTCHA v2/v3 была бесплатна для огромного числа запросов (ранее до 1 млн в месяц), хотя недавно Google ввел ограничение до 100k оценок в месяц бесплатно, далее $8 за каждые 100k (для обычной рекапчи). В противоположность этому, reCAPTCHA Enterprise с недавних пор стала платной после первых 10k запросов в месяц, по тарифу порядка $1 за 1000 проверок (при больших объемах может варьироваться). Таким образом, сайты платят за повышенную защиту, а Google предоставляет более мощный сервис. Для конечного пользователя разница неочевидна визуально, но для того, кто пытается автоматизировать обход, Enterprise представляет гораздо более серьезный барьер.

Сравнение версий reCAPTCHA: v2, v3 и Enterprise

Для наглядности сделал таблицу с основными характеристиками разных версий reCAPTCHA:

Характеристика	reCAPTCHA v2 (Checkbox/Invisible)	reCAPTCHA v3 (Score)	reCAPTCHA Enterprise
Способ проверки	Явная проверка: чекбокс “Не робот” и/или решание картинки или аудио задания. Требует действий от пользователя.	Неявная проверка: анализ поведения, выдача числового score (0.0–1.0). Пользователь ничего не решает.	Может работать как v2 (чекбокс + задачи) или как v3 (невидимый анализ). Использует расширенные алгоритмы анализа.
Взаимодействие с пользователем	Среднее/Высокое – при подозрении приходится решать задачи (выбор изображений и т.п.).	Нулевое – пользователь обычно не видит капчу, все в фоне.	На усмотрение сайта: минимальное (в режиме v3) или как у v2 (если требует задач). При этом порог срабатывания и интенсивность задач можно настраивать.
Алгоритмы и сигналы	Базовый анализ поведения при клике (движение мыши, время реакции), браузерные характеристики. При сильном подозрении – показываются картинки, которые проверяют человека.	Продвинутый поведенческий анализ всего сеанса пользователя. Использует историю действий на странице, возможно куки, и т.д.	Максимально широкий анализ: поведение, устройство, браузерные отпечатки, исторические данные “репутации” пользователя (по базе Google), дополнительные сигналые (например, Integrity API на Android). Алгоритмы на базе ML, 11-уровневая градация риска, причины риска.
Результат проверки	Токен (строка), подтверждающий, что пользователь прошел проверку. Сайт отправляет его для верификации на Google и получает success/failure.	Токен с закодированным score (0.0–1.0). Сайт отправляет для верификации и получает score и список флагов (причин).	Токен, аналогично v2/v3. При верификации через API Google возвращает score (для Enterprise v3) или просто успех. Дополнительно – reason codes (причины) и расширенные метрики в консоли.
Возможность настройки	Минимальная – можно выбрать только тип виджета (чекбокс или инвизибл), язык, тему оформления. Нельзя влиять на логику выдачи задач.	Настраивается только порог score (0.0–1.0) для принятия решения на сайте. Остальное – на стороне Google.	Широкая настройка – пороги срабатывания, интеграция с другими сервисами, выбор вида (v2 или v3), включение MFA (дополнительная проверка по SMS/Email на Enterprise Standard), использование в мобильных приложениях через SDK.
Предназначение	Защита форм, регистраций, входа в систему и т.д. Точечная проверка при совершении конкретного действия.	Непрерывный мониторинг трафика и действий. Подходит для защиты страниц оплаты, важных действий, где нужно предварительно оценить пользователя.	Защита высокочувствительных ресурсов: банковские услуги, крупные порталы, API. Предотвращение мошенничества, скриптовых атак, сниженные ложные блокировки реальных пользователей. Используется крупным бизнесом, готовым платить за безопасность.
Стоимость для владельца сайта	Бесплатно (до ~100k в мес), далее условно бесплатно (Standard). Ограничена только Политикой использования.	Бесплатно (в рамках той же квоты, т.к. это часть reCAPTCHA).	Платно после 10k проверок/мес. Ориентировочно $1 за 1000 запросов сверх этого (плюс возможная плата $8 за 100k стандартных, в зависимости от тарифа Google Cloud).
Сложность обхода для бот-разработчика	Относительно невысокая. С помощью сервисов распознавания можно получить решение (токен) за 10–30 секунд. При наличии аудио-капчи есть методы обхода через распознавание речи. Требуется эмулировать минимум взаимодействия (клик, отправка токена).	Выше средней. Нужно имитировать реальное поведение на странице, иначе токен получит низкий score и сайт заблокирует действие. Для высокого score часто прибегают к платным API, где люди с хорошей “репутацией” или специально обученные алгоритмы получают токены.	Очень высокая. Помимо решения самой капчи (если в режиме v2), требуется обойти множество поведенческих фильтров. Часто необходимы прокси, эмуляция полноценного браузера, или использование сторонних мощных решателей. Даже с правильным решением сайт может дополнительно анализировать соответствие IP и других сигналов. Без специализированных сервисов обойти практически нереально.

Из таблицы видно, что reCAPTCHA Enterprise – наиболее продвинутая и “тяжелая” для обхода версия. Если v2 еще можно решать относительно просто через человека или алгоритм, а v3 можно попытаться перехитрить, то Enterprise объединяет лучшее из обоих миров и добавляет свои проверки. Так как понять, что перед тобой именно Enterprise-капча?

Как определить, используется ли на сайте reCAPTCHA Enterprise

Прежде чем предпринимать попытки обхода, важно убедиться, что вы имеете дело с reCAPTCHA Enterprise, а не с обычной v2/v3. Внешне Enterprise-виджет может выглядеть так же, как привычная reCAPTCHA, поэтому нужно проверить код страницы и сетевые запросы. Вот несколько признаков, по которым можно определить Enterprise-версию:

Подключаемый скрипт: открываем HTML-код страницы (через «Просмотр кода» - правая кнопка мыши - Просмотр кода или просто F12). И ищем подключение JavaScript-файла с recaptcha/enterprise.js (или recaptcha/enterprise.js?onload=...) вместо стандартного recaptcha/api.js, это и есть главный признак того, что мы имеем дело с Enterprise. Например:

<script src="https://www.google.com/recaptcha/enterprise.js" async defer></script>

1.  В обычной v2/v3 было бы так .../recaptcha/api.js. Также в коде страницы для Enterprise обычно используется обращения к объекту grecaptcha.enterprise вместо просто grecaptcha. Например, вызовы grecaptcha.enterprise.render(...) или grecaptcha.enterprise.execute(...) явный признак Enterprise.

2. URL-адреса запросов: если открыть вкладку Network (Сеть) в тех же инструментах разработчика, что и выше и отследить запросы при загрузке капчи, для Enterprise версии будут URL, содержащие путь /recaptcha/enterprise/ (или поддомен recaptchaenterprise.googleapis.com) – это адреса к эндпоинтам Enterprise API. В то время как у стандартной reCAPTCHA v2 вы увидите запросы к .../recaptcha/api2/... (например, api2/payload или api2/userverify). Таким образом, наличие /enterprise в URL фоновых запросов капчи – показатель Enterprise (но увидеть вы их сможете только после перезагрузки страницы в режиме разработчика - ну это так, небольшое лирическое душное отступление).

3. Параметры в интеграции: некоторые сайты напрямую указывают использование Enterprise в своем коде. Например, могут быть настройки вроде isEnterprise: true внутри JavaScript-объекта параметров капчи. Если есть доступ к исходному JS, поищите строку “enterprise” или вызовы методов с этим словом.

4. Ключ сайта (sitekey): формально формат ключа сайта похож (обычно строка, начинающаяся с “6Lc...” или “6Lf...”), поэтому отличить Enterprise по одному виду ключа сложно. Однако, мы помним, что Enterprise-ключи выдаются через Google Cloud Project, и иногда имеют характерные суффиксы. Например, некоторые Enterprise sitekey могут заканчиваться на “…_domain-com” и т.п. Это не самый надежный критерий, но может сработать, если виден необычно длинный или явно корпоративный ключ.

В целом, если вы видите, что сайт использует скрипт enterprise.js и соответствующие вызовы, можно уверенно сказать – перед вами reCAPTCHA Enterprise. Далее необходимо понять, в каком режиме она работает (v2 или v3), чтобы выбрать. Сейчас будет максимально простая инструкция, но я обязан ее написать:

• Если на странице явно виден виджет капчи (чекбокс “Я не робот” или поле для капчи) – это reCAPTCHA Enterprise v2 (видимая).

• Если виджета нет, но при отправке формы всплывает окно с заданиями – это reCAPTCHA Enterprise v2 Invisible (невидимая капча, срабатывающая на действие).

• Если вообще ничего визуально не появляется и действие проходит либо тихо блокируется – скорее всего reCAPTCHA Enterprise v3, работающая по оценке.

Рекомендация тут простая - просто будь внимателен при подготовке исходных данных для обхода!

Как работает reCAPTCHA Enterprise (технически)

Внутренняя работа reCAPTCHA Enterprise во многом схожа с базовой reCAPTCHA, но использует более продвинутый сбор сигналов и анализ.Нужно понимать с чем вы имеете дело, прежде чем бросаться в бой:

• Сбор данных о пользователе: Когда загружается Enterprise-капча, она сразу начинает собирать информацию о клиенте. Это включает стандартные вещи: User-Agent браузера, разрешение экрана, часовой пояс, установленные плагины, куки (особенно куки Google, если пользователь залогинен в аккаунте – это может повышать доверие), Canvas-отпечаток (методом рисования и считывания с HTML5 canvas), WebGL-отпечаток, шрифты, аудиоконтекст – все, что может собрать современный скрипт для fingerprinting. Кроме того, отслеживаются движения мыши, клавиатуры, прокрутка страницы, скорость и траектория перемещений курсора при наведении на элемент капчи, задержки между событиями – т.е. поведенческий анализ. Эти данные в зашифрованном виде отправляются на сервера Google.

• Оценка риска и выдача задачи: На стороне Google работает модель машинного обучения, обученная на огромном массиве данных о взаимодействиях людей и ботов с reCAPTCHA. Для Enterprise эта модель обогащена дополнительными сигналами. Например, учитывается репутация IP-адреса (известен ли он как источник бот-трафика), история данного браузера (Google может сопоставлять, насколько часто с этим отпечатком решались капчи и успешно ли), наличие подозрительных шаблонов (например, слишком быстрый или идеально ровный курсор – признак робота). Если это Enterprise v2, то на основе этих факторов решается: показать ли пользователю задание (картинки) или пропустить сразу. reCAPTCHA Enterprise старается минимизировать лишние задания для реальных пользователей, поэтому часто реальный человек просто нажмет чекбокс и сразу пройдет (появится значок галочки). Боту же почти наверняка сразу выдается сложное задание: например, выбрать все изображения с пешеходными переходами, при этом после первого набора картинок может идти следующий (динамическая подгрузка новых картинок, пока пользователь не ошибется или не докажет, что он человек). Если же это Enterprise v3, то модель просто вычисляет score 0.0–1.0, где, условно, >0.7 считается человеком, <0.3 – ботом (порог настраивается владельцем сайта или сервиса, куда прикручивается капча).

• Дополнительные проверки Enterprise: В Enterprise-версии есть функции, не доступные в бесплатной. Например, Account Defender – если на сайте используется несколько Google-продуктов защиты, данные могут совмещаться. Enterprise может учитывать утечки паролей (Password Leak Detection) и другие риск-факторы в контексте определенной сессии. Также Enterprise-капча может работать в связке с двухфакторной аутентификацией – например, если Enterprise определяет риск, сайт может отправить SMS-подтверждение (эту логику должен реализовать владелец ресурса, а капча дает возможность отправить сигнал для срабатывания отправки смс). Все это повышает порог для злоумышленника.

• Генерация токена: Если пользователь (или бот) взаимодействует с Enterprise капчей, в итоге на фронтенде вызывается метод grecaptcha.enterprise.execute() или просто grecaptcha.enterprise.getResponse() (для v2). Это генерирует токен – строку (очень длинную, ~500+ символов), содержащую закодированную информацию о результате проверки. Этот токен обычно помещается в скрытое поле формы g-recaptcha-response и отсылается на сервер сайта.

• Верификация токена на сервере сайта: Сайт, получив токен от клиента, отправляет его на проверку Google. В бесплатной версии запрос идет на https://www.google.com/recaptcha/api/siteverify с секретным ключом. В Enterprise – запрос идет через API Google Cloud (или библиотеку) и может предоставлять более богатый ответ. Например, для Enterprise v3 помимо score возвращаются reason codes – причины, повлиявшие на низкий score (например: Automation, SuspectedAttacker, TooFast и т.д.). Для Enterprise v2 результат просто успех/не успех, но в консоле Google владелец все равно видит статистику, сколько капч решено, сколько провалено. Если токен не валиден или просрочен, верификация вернет отрицательный результат.

• Действия сайта по результату: На основании ответа капчи сайт принимает решение: пропустить пользователя дальше (если все ок), либо блокировать/показать ошибку/дополнительную проверку (если Google сигнализирует о боте). Enterprise дает более уверенный результат, поэтому владельцы сайтов могут жестче блокировать подозрительных юзеров – таким образом они будут платить за меньше количество ложных срабатываний.

Важно понимать, что токен reCAPTCHA привязан к определенному домену и действителен короткое время (обычно 2 минуты). Нельзя решить капчу на одном сайте и использовать токен на другом – он просто не пройдет верификацию. Ну и да, один токен выдается на одну попытку.

Теперь стало понятнее  ̶о̶т̶к̶у̶д̶а̶ ̶н̶а̶ ̶Б̶е̶л̶а̶р̶у̶с̶ь̶ ̶г̶о̶т̶о̶в̶и̶л̶о̶с̶ь̶ ̶н̶а̶п̶а̶д̶е̶н̶и̶е̶?̶ почему же Enterprise такая сложная для обхода? Если суммировать: она не только проверяет, можете ли вы решить картинку, но и отслеживает весь контекст. Даже если боту удастся получить правильный ответ на картинку (например, с помощью нейросети), Enterprise может “заподозрить” нечто неладное по совокупности сигналов (скажем, движение мыши было синтетическим, или браузер без реальных куки). Тогда токен может либо не сгенерироваться вовсе, либо при проверке сервером выяснится, что score низкий или токен помечен как рискованный. То есть, просто решить картинки мало – нужно обмануть всю систему комплексно. Это и вызывает основные трудности при обходе reCAPTCHA Enterprise.

Почему обход reCAPTCHA Enterprise – непростая задача

Исходя из внутреннего устройства, выделим ключевые проблемы, с которыми сталкиваются разработчики ботов при попытке обхода Enterprise-капчи:

• Расширенный Fingerprinting: reCAPTCHA Enterprise собирает максимум данных о вашей среде. Простые скриптовые запросы (например, имитация формы через requests без браузера) сразу проваливаются – у них нет ни нужных JS-сигналов, ни правильных куки. Даже эмуляция браузера через headless Chrome может быть распознана (Google умеет определять Headless режим через косвенные признаки). При обходе приходится использовать настоящие браузеры или хорошо замаскированные headless-браузеры с stealth-настройками, чтобы fingerprint выглядел как у обычного пользователя.

• Поведенческий анализ: Недостаточно просто загрузить страницу – нужно вести себя как человек. Для Enterprise v3 это критично: если скрипт мгновенно загружает и отправляет форму, скорее всего получит score 0.1. Боту приходится “задерживаться” на странице, двигать мышью, скроллить, возможно, нажимать какие-то элементы, делать видимый “человеческий” след. Это сложно сэмулировать идеально – требуются специальные библиотеки, генерирующие случайные правдоподобные события (существуют инструменты вроде Puppeteer Extra Stealth, Playwright Stealth, которые скрывают автоматизацию и имитируют действия).

• Ограничение по времени: Токен нужно получить быстро. Если вы решаете капчу слишком долго (несколько минут), токен может устареть или сайт решит, что что-то не так. Сервисы-решатели обычно укладываются в ~20-60 секунд. Если писать своего бота, нужно уложиться в эти рамки, параллельно симулируя жизнь страницы – задача нетривиальная.

• Привязка к IP и окружению: Enterprise может учитывать несоответствия – например, капча была решена с IP адреса из другой страны, чем IP пользователя, отправляющего форму. Такое случается, когда используют онлайн-сервисы: ваш бот работает, к примеру, из Германии, а отправляет изображение капчи на решающий сервер в Индии. Решение получено, токен вставлен, но при верификации Google видит, что токен получен через совершенно другой регион – подозрительно. Поэтому часто нужны прокси, чтобы решать капчу от имени того же IP, что и бот. Это увеличивает сложность и стоимость.

В итоге, обход reCAPTCHA Enterprise – это гонка вооружений между Google и разработчиками. В написать надежный скрипт для Enterprise крайне сложно. На помощь приходят специализированные сервисы и инструменты, о которых мы и поговорим далее.

Методы обхода reCAPTCHA Enterprise

Существует несколько подходов к решению капчи, условно их можно разделить на ручные, автоматические и комбинированные. Что же может сработать, применительно к reCAPTCHA Enterprise:

Ручной метод обхода

Под “ручным” методом понимается участие человека в процессе распознавания капчи. Самый очевидный способ – это решить капчу самостоятельно. В тестовых сценариях QA, например, инженеру может быть проще вручную кликнуть по виджету. Но в контексте автоматизации или массового обхода такой подход не масштабируется. Тем не менее, ручные методы легли в основу многих онлайн-сервисов решения капч.

Аутсорс людям (разгадывание капчи людьми): Существует целая индустрия сервисов, где реальные люди за небольшую плату решают капчи круглосуточно. Вы отправляете им изображение или задачу – они возвращают ответ. Для reCAPTCHA Enterprise это работает так: бот или скрипт получает параметры капчи (sitekey, URL и возможно изображение, если уже выдано), отправляет на сервер сервиса. Там оператор (человек) решает капчу и полученный, после решения токен пересылает обратно боту, который уже использует его для прохождения проверки. Сервисы вроде 2Captcha, ruCaptcha, SolveCaptcha, DeathByCaptcha и др. используют именно человеческий труд. Преимущество – высокая точность (человек в большинстве случаев справляется с задачей), гибкость (любые нововведения Google все равно решаемы человеком). Недостатки – задержка на решение (обычно 10-30 секунд, но зависит от сложности и время может увеличиться), а главное, стоимость на больших объемах. За каждую услугу нужно платить, вы должны это понимать. И даже если капча решена неверно, у уважающих себя сервисов есть такое понятие - как возврат за нерешенные капчи, так что платите вы по итогу только за то, что реально было решено.

• Свой “ручной” решатель: Некоторые компании создают свой штат для решения капчи (пример Амазон) сами или используют крауд-платформы для решения капч. По сути, это создание собственного маленького 2Captcha (это не относится к Амазон, там не маленькая 2капча, а несколько больших 2капч). В подавляющем большинстве случаев выгоднее обратиться к уже существующим сервисам, но, например, если компания боится утечки данных (капча может появляться на внутренних системах), могут привлекаться собственные сотрудники. Это конечно частный случай и кроме Амазона, я и примеров то особо не могу привести, но уверен что такие примеры есть.

Ручные методы надежны, однако полностью полагаться на них неудобно – хочется автоматизировать. Поэтому возникли автоматические способы.

Автоматические методы обхода

Автоматические методы пытаются решить капчу без участия человека, с помощью алгоритмов, нейросетей и хитростей. В случае reCAPTCHA Enterprise это особенно трудно, но прогресс не стоит на месте. Основные варианты автоматизации:

• Компьютерное зрение для решения картинок: Раз reCAPTCHA v2 (и Enterprise v2) показывают картинки, то можно попытаться их распознать автоматически. Задача сводится к классификации изображений: например, “найди на этих девяти картинках все, где есть светофор”. Современные модели CV (Computer Vision) могут определять множество объектов, и некоторые компании обучили нейросети решать типичные капчевые задания. Уже существуют решатели, которые практически без участия людей распознают изображения reCAPTCHA. Например, сервис SolveCaptcha позиционирует себя как AI-решатель, использующий нейросети вместо людей. Алгоритмы работают очень быстро (счёт на секунды, а то и доли секунд) и относительно дешево в больших объемах. Но стопроцентной гарантии нет: Google подбирает изображения так, чтобы запутать и людей, и машины (размытые, с ракурсами, несколько объектов в одном изображении). Нейросеть может ошибиться, тогда капча не будет считаться решенной. Тем не менее, точность уже довольно высокая (заявляют до 90+% успеха). Автоматическое распознавание позволяет решать капчи потоково, без задержек, но требует серьезных ресурсов на разработку и поддержку модели. Конечным разработчикам (при желании) не нужно писать свою нейросеть – достаточно воспользоваться API готовых сервисов.

• Обход через аудио (speech-to-text): reCAPTCHA традиционно имеет опцию аудио-капчи для слабовидящих пользователей. Можно переключиться на аудио и получить звук. Был даже такой способ: отправлять этот звук в сервис распознавания речи (даже в Google Speech API) и получать текст, тем самым автоматически решая капчу. Google, конечно, улучшил защиту – накладывает помехи, и в Enterprise так и вообще реже дает аудио-вариант. Но некоторые боты до сих пор используют этот способ как резервный: если не удается решить визуально, пробовать аудио. Эффективность этого метода в современных реалиях уже спорная – современные AI для изображений вполне могут конкурировать с аудио-методом, но полностью исключать его тоже не буду.

• Эмуляция “правильного” клиента: Это скорее об обходе v3. Идея – если капча выдает низкий score боту, то… превратить бота в “человека” настолько, чтобы получить высокий score. Как? Можно, например, запустить полноценно браузер Chrome/Firefox, загрузить страницу, и дать ей “пожить” под управлением скрипта: имитировать движения, возможно, действительно просерфить сайт, нажать какие-то кнопки как реальный пользователь. После этого вызвать grecaptcha.enterprise.getResponse() и получить токен. Такой токен будет содержать поведенческие сигналы, и шанс получить приличный score выше. Некоторые автоматизированные решатели так и делают – под капотом они запускают браузер (часто с помощью Chromium - это движок, на котором написан Chrome). Для управления браузером используются различные фреймворки: Selenium WebDriver, Playwright, Puppeteer. От разработчика это скрыто, но фактически ваш запрос решается ботом, который притворяется человеком. Плюс – не нужны люди, минус – стоимость возрастает (нужно много ресурсов, браузер в облаке). Тем не менее, для Enterprise v3 такие решения имеются. Кроме того, сервисы, решающие капчи, используют собственные фермы прокси и браузеров: они поддерживают пул “прогретых” сессий, возможно даже с настоящими куками Google, чтобы при запросе от клиента сразу использовать готовый контекст, где Google доверяет пользователю.

• Использование уязвимостей или API: В редких случаях могут существовать уязвимости интеграции. Например, неправильно настроенный сайт может принимать не проверенные токены или повторно использовать один токен. Такие ошибки – исключение, и рассчитывать на них не стоит, тем более в Enterprise-среде.

Комбинированные подходы

Наиболее эффективные решения на практике комбинируют людей и машины. Примеры комбинированных подходов:

• AI + человек (резерв): Сервисы стараются автоматизировать все, что только возможно, ведь это дешевле и быстрее. Например, SolveCaptcha может сначала попытаться решить задачку нейросетью. Если уверенности недостаточно или ответ не прошел – тогда передать капчу человеку. Пользователь сервиса этого даже не заметит, разве что время решения может увеличиться. Такой гибрид позволяет достичь почти 100% успеха, оптимизируя издержки. Таким образом, машины решают рутинные задачи, люди – сложные или пограничные (это пока, но кто знает что изменится через небольшой временной промежуток, правда?).

• Человек + бот (управляемое решение): Обратная ситуация: когда бот-скрипт выполняет все вплоть до самого последнего шага, а человек лишь помогает на одном этапе. Например, QA-инженер может написать скрипт, который автоматизирует тестирование сайта, но когда скрипт доходит до капчи, он встает на паузу и ждет, пока человек решит капчу, затем скрипт продолжает работу. Это применимо при небольшом количестве капч и когда важно автоматизировать остальное. По сути, это ручное решение, встроенное в автоматизированный сценарий – экономит время, если капча встречается нечасто. По мне так подобное решение подойдет для небольших проектов и стартапов, но на промышленных масштабах такое решение не вариант.

• Использование нескольких сервисов: Один комбинированный подход для повышения надежности – отправлять запрос на несколько сервисов распознавания капчи одновременно. Допустим, параллельно использовать сервис A (AI) и сервис B (человеческий) и взять первый полученный результат. Если один по каким-то причинам не справится, есть надежда на второй, который вероятно, даст правильный ответ. Это повышает шанс решить с первого раза ценой двойных затрат на одну капчу. 

Суммируя: в боевых условиях для уверенного обхода reCAPTCHA Enterprise применяются комплексные решения – продвинутые алгоритмы + человеческий фактор + инфраструктура (браузеры, прокси, сессии). По моему мнению, перед тем как принимать решение, что делать - писать самому способ обхода или обращаться в сторонние сервисы, необходимо все просчитать и понять, что будет выгодно, а что нет. Ну и сравнить цены, естественно.

Обзор популярных сервисов для распознавания reCAPTCHA Enterprise

Сегодня на рынке есть несколько популярных сервисов и инструментов, предлагающих обход Google reCAPTCHA Enterprise “под ключ”. Они отличаются подходом (человек или ИИ), ценами и скоростью. Ниже приведена таблица сравнения некоторых известных решений:

Сервис	Метод решения	Цена (reCAPTCHA Enterprise)	Скорость	Особенности
2Captcha / ruCaptcha	Человеческий (краудсорсинг реальных людей).	~1.5–3 $ за 1000 решений (≈65–160 ₽ за 1000). Оплата только за успешно решённые капчи.	15–30 секунд в среднем на одну капчу. (в сложных случаях может дольше)	Один из старейших сервисов. Есть API, поддержка множества языков, примеры кода. Требует указать enterprise=1 для Enterprise. Надёжность высокая, но иногда возможны ошибки операторов.
Anti-Captcha (AntiCaptcha)	Человеческий + элементы автоматизации.	~5 $ за 1000 (reCAPTCHA Enterprise v2/v3). Цена выше, чем за обычную reCAPTCHA.	5–20 секунд обычно. При загрузке сервис может держать очередь.	Популярный сервис с удобным API. Заявляет отбор лучших работников для Enterprise-задач. Есть опция указания минимального score для v3. Также предлагает подписки для обхода капч с фиксированной ценой/мес.
SolveCaptcha	ИИ-решение (собственные нейросети + инфраструктура браузеров), при необходимости – резерв на людей.	очень низкая цена: $0,55 за 1000 reCAPTCHA Enterprise	5–10 секунд	Решает множество видов капч. Для reCAPTCHA Enterprise использует либо свой браузерный движок, либо прямое распознавание картинок. Высокая успешность (~97%).
DeathByCaptcha	Человеческий.	$2.89 за 1000 (для reCAPTCHA v2/v3). Про Enterprise заявляют поддержку, цена может быть выше.	20–40 сек.	Старый сервис, ориентирован в т.ч. на западный рынок. Имеет немного более низкую цену за обычные капчи, но под Enterprise может привлекать опытных работников. Интерфейс несколько устарел.
NopeCHA	ИИ (нейросеть) + расширение.	Модель подписки, эквивалент от $0.5 до $2 за 1000 (в зависимости от плана).	5–15 сек.	Интересный сервис, предоставляющий в основном расширение для браузера с AI-решением капч (есть бесплатный лимит). Для интеграции в код менее популярен, но API имеется. Может решать капчи прямо на странице пользователя.
NextCaptcha	Комбинированный (детали не раскрывают, вероятно AI + люди).	~$0.8 за 1000 Enterprise (по акции).	5–15 сек.	Новый сервис, ориентированный на рынок обхода в 2024+. Предлагает низкую цену и пробный период. Информации немного, но декларирует поддержку reCAPTCHA Enterprise.

Примечания: Скорость решения зависит от нагрузки и конкретной капчи. Во многих сервисах есть возможность ускорить решение (например, “покупка” приоритета) или немного снизить цену за счет меньшей скорости (попадание в медленную очередь). Также нужно учитывать, что для Enterprise-капчи часто необходимо предоставлять прокси той же локации, что и пользователь, особенно если используете AI-сервис. 

Выбор сервиса зависит от ваших задач: если вам нужно решить несколько капч, разница в копейках не так важна – проще взять 2Captcha с привычным API. Если же вы строите масштабный парсер, и надо обходить по 10000 капч в день, есть смысл посмотреть на AI-сервисы типа SolveCaptcha ради экономии и скорости.

Пошаговая инструкция: обход reCAPTCHA Enterprise через API

Переходим к практике, много текста для аудитории Хабра не всегда хорошо, ей подавай мясо, вот оно (да, сегодня будет постная индейка, без крутых сюжетных поворотов, и тем не менее).

Предположим, у нас есть скрипт, который должен автоматически перейти на сайт и выполнить действие, защищенное reCAPTCHA Enterprise (например, регистрация аккаунта). Когда скрипт доходит до капчи, он должен решить ее. Мы будем использовать внешний сервис распознавания через его API. За основу возьмем сервис 2Captcha (ruCaptcha) в качестве примера – у него простой API и широкая поддержка, но при желании можно подставить другой (алгоритм похож).

Шаг 1: Получить ключ сайта (sitekey) и определить тип капчи. Обычно в HTML-коде страницы, где встроена reCAPTCHA, присутствует элемент вида: <div class="g-recaptcha" data-sitekey="SITE_KEY" ...>. Нам нужно вытащить значение data-sitekey. Если капча v3, вместо такого div могут просто вызывать grecaptcha.enterprise.execute(site_key, {action: 'submit'}) – тогда sitekey можно найти внутри этого вызова или в самом подключаемом скрипте. Допустим, мы нашли sitekey = "6Lf26sUnAAAAAIKLuWNYgRsFUfmI-3Lex3xT5N-s". Также фиксируем URL страницы (например, https://target-site.com/register). Мы проверили, что это Enterprise (видим enterprise.js), и, скажем, определили что это Enterprise v2 (требуется чекбокс/задача).

Шаг 2: Отправить задачу на решение через API решателя. У каждого сервиса свой формат, но суть одинаковая: нужно передать как минимум sitekey и URL страницы. В 2Captcha это делается отправкой POST-запроса на их endpoint (https://2captcha.com/in.php). Дополнительный параметр enterprise=1 указывает, что капча Enterprise. Если капча невидимая (нет явного чекбокса, только вызов через JS) – стоит добавить invisible=1 (это влияет на то, как человек будет решать). Другие сервисы имеют аналогичные параметры. Например, Anti-Captcha требует создать JSON-задание {type: ReCaptchaV2EnterpriseTaskProxyless, websiteURL: "...", websiteKey: "...", isInvisible: false}. Мы также должны указать наш API-ключ сервиса, который мы получили при регистрации там. На этом шаге можно (опционально) указать прокси, через который решатель должен работать. Многие сервисы позволяют не задавать прокси (они либо не используют его, либо применят свой пул). Однако, если сайт особо чувствителен к IP, лучше предоставить прокси, географически близкий к вашему. В 2Captcha для этого есть параметры proxy=..., proxytype=.... В моем примере не буду усложнять.

Шаг 3: Ожидание и получение решения (токена). Решение капчи, как вы понимаете, происходит не сразу (даже кошки хоть и родятся быстро, но не сразу)  – мы должны периодически проверять, есть ли ответ. В 2Captcha после отправки капчи в очередь, мы получим ID капчи (числовой идентификатор). Через некоторое время (обычно 5+ секунд) можно уже делать GET-запрос на https://2captcha.com/res.php с параметрами key (ваш API-ключ), action=get, id (полученный ID). Если еще не готово, сервис ответит CAPCHA_NOT_READY, тогда ждём и повторяем запрос через 5 сек (время можно изменить на ваше усмотрение). Как только капча решена, придет ответ вида OK|<token>, где <token> – строка решения (то, что нужно подставить в g-recaptcha-response). В случае неуспеха может прийти ERROR_CAPTCHA_UNSOLVABLE (например, оператор не смог решить или произошел сбой). Тогда придется попробовать еще раз.

Шаг 4: Отправка токена на сайт и завершение действия. Получив токен, наш скрипт должен подставить его туда, куда ожидает сайт. Обычно это скрытое поле формы: <input type="hidden" name="g-recaptcha-response" value="<TOKEN>">. Если взаимодействие идет через AJAX, то токен передается параметром. Мы заполняем поле/параметр токеном и повторно отправляем запрос на сервер сайта (например, повторно сабмитим форму регистрации). На сервере сайта токен проверится, и если все хорошо, действие выполнится. Визуально для пользователя, если бы он был, капча отметилась бы как пройденная. Для нас – мы получили желаемый результат автоматически.

Теперь представим, как это выглядит непосредственно в коде. Ниже приведены примеры кода на Python, PHP и Node.js, реализующие описанные шаги с использованием API 2Captcha. (Для других сервисов код будет похожим, меняются URL и формат запросов – см. их документацию.)

Пример на Python (requests)

import requests
import time

API_KEY = "ВАШ_API_КЛЮЧ_2CAPTCHA"
sitekey = "6Lf26sUnAAAAAIKLuWNYgRsFUfmI-3Lex3xT5N-s"
page_url = "https://2captcha.com/demo/recaptcha-v2-enterprise"

# 1. Отправляем капчу на решение
data = {
    'key': API_KEY,
    'method': 'userrecaptcha',
    'googlekey': sitekey,
    'pageurl': page_url,
    'enterprise': 1
}
response = requests.post("http://2captcha.com/in.php", data=data)
if response.text.split('|')[0] != "OK":
    print("Ошибка отправки капчи:", response.text)
    exit(1)
captcha_id = response.text.split('|')[1]
print(f"Капча отправлена, ID = {captcha_id}")

# 2. Ожидаем решения
recaptcha_token = None
for i in range(20):  # максимум ~100 сек ожидания
    time.sleep(5)
    res = requests.get(f"http://2captcha.com/res.php?key={API_KEY}&action=get&id={captcha_id}")
    if res.text == "CAPCHA_NOT_READY":
        print("Решение еще не готово, ждем...")
        continue
    if res.text.startswith("OK|"):
        recaptcha_token = res.text.split('|')[1]
        break
    else:
        print("Ошибка при решении капчи:", res.text)
        exit(1)

if not recaptcha_token:
    print("Не удалось получить решение капчи вовремя")
    exit(1)

print("Получен токен reCAPTCHA:", recaptcha_token)

# 3. Используем полученный токен - например, отправляем форму с ним.
form_data = {
    'username': 'testuser',
    'password': '12345',
    'g-recaptcha-response': recaptcha_token
}
final_res = requests.post(page_url, data=form_data)
print("Результат отправки формы:", final_res.status_code)

Что делает этот код: Отправляет запрос на 2Captcha для решения Enterprise-капчи с указанным sitekey и URL, получает ID задачи, опрашивает результат каждые 5 секунд, и в итоге получает готовый токен. Затем имитирует отправку формы с этим токеном (для демонстрации). В реальности отправить токен может быть гораздо сложнее: несколько полей формы, обратный вызов, неактивная кнопка "Сабмит" и т.д.

Пример на PHP (cURL)

<?php
$apiKey = "ВАШ_API_КЛЮЧ_2CAPTCHA";
$siteKey = "6Lf26sUnAAAAAIKLuWNYgRsFUfmI-3Lex3xT5N-s";
$pageURL = "https://2captcha.com/demo/recaptcha-v2-enterprise";

// 1. Отправка капчи на решение
$ch = curl_init("http://2captcha.com/in.php");
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, [
    'key' => $apiKey,
    'method' => 'userrecaptcha',
    'googlekey' => $siteKey,
    'pageurl' => $pageURL,
    'enterprise' => 1
]);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
$resp = curl_exec($ch);
curl_close($ch);

if(strpos($resp, "OK|") !== 0) {
    die("Ошибка отправки: $resp");
}
list(, $captchaId) = explode('|', $resp);
echo "Капча отправлена, ID = $captchaId\n";

// 2. Ожидание решения
$token = null;
for($i = 0; $i < 20; $i++) {
    sleep(5);
    $res = file_get_contents("http://2captcha.com/res.php?key=$apiKey&action=get&id=$captchaId");
    if($res === "CAPCHA_NOT_READY") {
        echo "Ожидание...\n";
        continue;
    } elseif(strpos($res, "OK|") === 0) {
        $token = substr($res, 3);
        break;
    } else {
        die("Ошибка решения: $res");
    }
}
if(!$token) {
    die("Не удалось получить токен, превышено время ожидания.");
}
echo "Токен получен: $token\n";

// 3. Использование токена (например, отправка вместе с остальными данными формы)
$formFields = http_build_query([
    'username' => 'testuser',
    'password' => '12345',
    'g-recaptcha-response' => $token
]);
$ch = curl_init($pageURL);
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, $formFields);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
$result = curl_exec($ch);
curl_close($ch);

echo "Ответ сервера на отправку формы: $result\n";

Этот PHP-скрипт делает то же самое: с помощью cURL и file_get_contents взаимодействует с API 2Captcha, а затем условно отправляет форму. В реальности, вместо прямого постинга формы, скорее всего, ваш скрипт будет либо обрабатывать дальше страницу через тот же механизм, либо, если используется браузерное управление, нужно будет вставить токен на страницу. Но суть передачи токена остаётся.

Пример на Node.js (fetch API)

const fetch = require('node-fetch');  // Установите пакет: npm install node-fetch

const API_KEY = "ВАШ_API_КЛЮЧ_2CAPTCHA";
const siteKey = "6Lf26sUnAAAAAIKLuWNYgRsFUfmI-3Lex3xT5N-s";
const pageUrl = "https://2captcha.com/demo/recaptcha-v2-enterprise";

async function solveRecaptcha() {
    // 1. Отправка задачи на решение
    const params = new URLSearchParams();
    params.append('key', API_KEY);
    params.append('method', 'userrecaptcha');
    params.append('googlekey', siteKey);
    params.append('pageurl', pageUrl);
    params.append('enterprise', '1');

    let resp = await fetch('http://2captcha.com/in.php', {
        method: 'POST',
        body: params
    });
    let text = await resp.text();
    if (!text.startsWith('OK|')) {
        throw new Error(`Ошибка отправки: ${text}`);
    }
    const captchaId = text.split('|')[1];
    console.log(`Капча отправлена, ID = ${captchaId}`);

    // 2. Ожидание результата
    let token = null;
    for (let i = 0; i < 20; i++) {
        await new Promise(res => setTimeout(res, 5000));
        let resResp = await fetch(`http://2captcha.com/res.php?key=${API_KEY}&action=get&id=${captchaId}`);
        let resText = await resResp.text();
        if (resText === 'CAPCHA_NOT_READY') {
            console.log("Ожидание решения...");
            continue;
        }
        if (resText.startsWith('OK|')) {
            token = resText.split('|')[1];
            break;
        } else {
            throw new Error(`Ошибка решения: ${resText}`);
        }
    }
    if (!token) {
        throw new Error("Токен не получен в отведенное время.");
    }
    console.log("Получен токен:", token);

    // 3. Использование токена (например, отправка POST-запроса с токеном)
    const formParams = new URLSearchParams();
    formParams.append('username', 'testuser');
    formParams.append('password', '12345');
    formParams.append('g-recaptcha-response', token);

    let finalResp = await fetch(pageUrl, {
        method: 'POST',
        body: formParams
    });
    console.log("Результат отправки формы:", finalResp.status);
}

solveRecaptcha().catch(err => {
    console.error(err);
});

В этом Node.js примере мы используем node-fetch для запросов. Скрипт отправляет задачу, ждет с паузами, получает токен и затем выполняет финальный POST. Обратите внимание, node-fetch работает асинхронно, поэтому мы используем async/await. Код рассчитан на Node.js 14+ с поддержкой ES Modules, но можно адаптировать под CommonJS.

Примечание: для реального применения в Node.js окружении удобнее использовать официальные SDK (например, пакет 2captcha на npm), но здесь показан “сырой” подход для ясности.

Советы по интеграции

1. Правильная вставка токена: Если вы управляете браузером (Selenium, Puppeteer и т.п.), то после получения token следует выполнить JavaScript на странице: document.querySelector('[name="g-recaptcha-response"]').value = token; (или через executeScript). Некоторые сайты могут ожидать также токен в определенной переменной JS – в случае reCAPTCHA обычно достаточно скрытого поля.

2. Учтите экспирацию: Токен действителен ограниченное время (~120 секунд). Поэтому, получив его, сразу используйте. Не запрашивайте решение капчи заранее до того, как реально готовы отправить форму.

3. Одно решение – один токен: Нельзя использовать один и тот же токен дважды. Если нужно повторно пройти капчу, придётся решать заново.

Рекомендации по обработке ошибок и оптимизации

При решении капчи через API сервисов распознавания капчи важно правильно обрабатывать разные ошибки, чтобы ваш скрипт был надежным и не зависал. Вот несколько советов (никто не читает эти советы, пока не возникает ошибка, сам такой):

• Проверка баланса и лимитов: Прежде чем слать капчу на сервис, убедитесь, что на вашем счету сервиса достаточно средств (у большинства есть метод API для проверки баланса, либо просто зайти ручками в кабинет и посмотреть). Если баланс нулевой, вы получите ошибку вроде ERROR_ZERO_BALANCE. Предусмотрите такой ответ и пропишите логику для скрипта в случае подобной ошибки, чтобы он не прекращал работу (например, уведомлением или переключением на запасной сервис).

• Обработка ошибок API: Возможны разные ошибки – неправильный ключ API (ERROR_WRONG_USER_KEY), неверные параметры (ERROR_WRONG_SITEKEY или ERROR_BAD_PARAMETERS), превышение лимита запросов (ERROR_TOO_MUCH_REQUESTS) и т.д. Полный список обычно есть в документации. В коде, как только получили ответ, не начинающийся на OK| или CAPCHA_NOT_READY, нужно логировать или обрабатывать согласно типу ошибки. Некоторые ошибки временные (например, ERROR_TIMEOUT – сервис не решил за отведенное время; можно попробовать отправить заново), а некоторые фатальные (неправильный ключ – тут только исправить настройки). По хорошему - необходимо прописать в скрипте варианты логики поведения скрипта при подобных ошибках.

• Повтор решения капчи: Если сервис вернул ERROR_CAPTCHA_UNSOLVABLE, значит два или три разных работника пытались, но не смогли решить (или алгоритм несколько раз провалился). Такое бывает, например, из-за слишком сложных изображений или если Google постоянно отклоняет попытки. В этом случае можно попробовать отправить ту же капчу снова (с новым ID) – часто повторное решение проходит, т.к. попадется другой работник или по новой загрузятся картинки. Однако бесконечно повторять не стоит (обычно 1-2 повтора достаточно). Если не выходит, вероятно, проблема в самой задаче – возможно сайт требует дополнительные данные (параметр s), или ваш IP в бане. Тут уже нужно ревизовать подход.

• Параметр s / data-s: Для reCAPTCHA Enterprise v2 иногда сайт использует дополнительный параметр s – это зашифрованная строка, которая генерируется сайтом и привязана к конкретной сессии/действию. Она может присутствовать внутри кода сайта, например, в вызове grecaptcha.enterprise.render(..., {'sitekey':..., 's': '<long_str>'}). Если видите такое, нужно передать эту строку решателю. 2Captcha/Anti-Captcha позволяют это – например, добавить параметр data-s=<значение>. Этот параметр часто используется, когда Google рекомендует сайту включить браузерную проверку / сниппет JS для усиления защиты. Без него ваш токен может не приниматься. Поэтому, внимательно изучайте HTML на наличие скрытого поля data-s или аналогичного.

• Оптимизация параллельности: Если вы решаете капчи не одну за другой, а сразу много (многопоточный скрипт). Вы можете отправлять задачи параллельно, и параллельно обрабатывать результаты. Сервисы обычно позволяют десятки одновременных задач с одного аккаунта. Главное – не дергать результат слишком часто. Если у вас 50 задач, не стоит слать 50*20 = 1000 запросов проверки каждую секунду – это ни к чему. Делайте паузы 5–10 сек, можно групповыми запросами. Кстати, Anti-Captcha имеет JSON API, где можно сразу несколько ID статусов запрашивать одним вызовом – это снижает нагрузку и ускоряет сбор результатов.

• Использование нескольких сервисов: Для критичных сценариев можно заложить резервный вариант. Например, если за X секунд не пришел ответ от сервиса A, попробовать параллельно отправить на сервис B. Либо при получении определенной ошибки – переключаться на другого провайдера. Это добавляет сложности (нужно поддерживать разные API), но повышает надежность. Впрочем, в большинстве случаев одного проверенного решателя хватает.

• Кэширование и переиспользование сессий: Этот совет скорее для снижения количества капч, а не ускорения их решения. Если вы контролируете браузер, старайтесь использовать сессионные куки. Например, при парсинге сайта логиньтесь и сохраняйте куки – возможно, с залогиненным аккаунтом или после одной успешно решенной капчи дальше Google будет давать вам высокий score без задач. Особенно касается v3 – там можно “прогреть” сессию. Для v2 Enterprise, если пользователь прошел одну капчу, некоторое время Google может не выдавать новую на том же сайте. Поэтому, если возможно, храните контекст (cookie SID от Google, и куки сайта) между запросами, чтобы не каждый раз начинать “с нуля”. Это не всегда применимо, но держите в уме.

• Лимитируйте скорость запросов: Если у вас скрипт выполняет массово действия на сайте, не забывайте, что вызов капчи может быть реакцией на частые запросы. Например, Google может повышать сложность капчи при подозрительном трафике. Иногда, чуть снизив скорость парсинга (например, делать небольшие задержки между запросами страниц), можно уменьшить частоту появления капчи – что экономит средства и время. Это баланс: быстрее парсишь – больше платишь за капчи.

• Логируйте все события: Введите хорошее логирование: когда отправили на решатель, ID, ответ сервиса, сколько ждали, итог. При возникновении проблем это поможет диагностировать их. Например, вы можете заметить, что в определенные часы решение занимает больше времени (может быть, у сервиса перегрузка – тогда можно динамически переключаться на альтернативный или увеличить таймаут ожидания). Или что для определенного сайта постоянно приходит ERROR_UNSOLVABLE – значит сайт может иметь доп. защиту (anti-bot), не только reCAPTCHA, и стоит изучить этот вопрос.

ReCAPTCHA Enterprise – мощный инструмент защиты от автоматизации, но не непреодолимый. Обход reCAPTCHA Enterprise возможен, но требует серьезного подхода. Это не та вещь, которую можно победить простым скриптом из десяти строк. Нужно использовать правильные инструменты (сервисы распознавания капчи, прокси, эмуляция браузера) и учитывать множество деталей.

Помните о балансе: защита становится умнее – но и решения тоже умнеют. Тем не менее базовые принципы останутся прежними: анализируйте, как вас выявляют, и имитируйте нормального пользователя настолько, насколько нужно для успешного прохождения.

Надеюсь, этот разбор поможет вам понять, что стоит за reCAPTCHA Enterprise и как с ней справляться. Удачной автоматизации без препятствий!