Resumo

• Google alterou o sistema de verificação reCaptcha para exigir a leitura de QR Codes.
• A mudança, no entanto, estaria dificultando o acesso de usuários com dispositivos Android sem serviços do Google instalados.
• Segundo a big tech, a nova medida tenta conter robôs e agentes de IA na web.

No fim de abril, o Google anunciou uma mudança no reCaptcha: o sistema de verificação passou a exibir QR Codes para confirmar se o usuário é humano. A alteração, porém, vem sendo criticada por desenvolvedores de sistemas Android sem serviços do Google, como GrapheneOS e CalyxOS, que afirmam que o novo método dificulta o acesso a milhões de sites sem a instalação do Google Play Services.

Segundo o Google, a mudança faz parte de uma tentativa de conter robôs e agentes de IA na web, exigindo que o usuário leia um QR Code com o celular. O problema é que, na prática, o novo método estaria bloqueando o acesso de pessoas que optaram por remover ferramentas do Google de seus dispositivos. Vale lembrar que o Android é um sistema com código aberto.

Desenvolvedores criticam a mudança

A mudança gerou repúdio em parte da comunidade. A equipe de desenvolvimento do GrapheneOS declarou que a exigência é uma manobra anticompetitiva. Os desenvolvedores apontam que o modelo apenas trava os usuários em um duopólio móvel, forçando o uso de APIs da Apple ou do Google, o que afeta até mesmo o acesso a serviços bancários e governamentais na União Europeia.

No mesmo sentido, a publicação International Cyber Digest apontou que o Google passou a tratar a privacidade de dados como “comportamento suspeito por padrão”.

O CEO e cofundador do navegador Brave, Brendan Eich, reforçou as críticas. Ele defendeu que os serviços na web não deveriam proibir o uso de hardware e sistemas operacionais independentes.

Money shot: “Services shouldn't ban people from using arbitrary hardware and operating systems in the first place. Google's security excuse is clearly bogus when they permit devices with no patches for 10 years… It's for enforcing their monopolies via GMS licensing, that's all.” https://t.co/Eg16JoWb4L

— BrendanEich (@BrendanEich) May 10, 2026

O que muda na verificação por QR Code?

Quando o sistema detecta uma atividade de navegação suspeita, em vez de exibir os tradicionais quebra-cabeças visuais — como pedir para o usuário identificar fotos de motos ou faixas de pedestres —, a ferramenta passa a mostrar um QR Code na tela.

O usuário precisa, então, escanear esse código com a câmera do smartphone para comprovar sua “identidade humana”.

A alteração faz parte do pacote Google Cloud Fraud Defense, apresentado durante o evento Cloud Next. A evolução chega especialmente para tentar identificar, classificar e barrar agentes autônomos de IA suspeitos na web, contando com recursos como o Web Bot Auth (que verifica se um bot é legítimo) e o SPIFEE (que fornece identidade para autenticação).

O obstáculo são os requisitos técnicos. Documentações de suporte da empresa deixam claro que, para concluir a leitura do código no Android, o aparelho precisa estar rodando a versão 25.41.30 ou superior do Google Play Services. Dispositivos da Apple também estão inclusos na exigência, necessitando o iOS 15 ou mais recente.

Vale mencionar que a base para essa exigência não é tão nova assim. Buscas no Internet Archive e discussões no Reddit revelam que a página de suporte já listava a exigência do Google Play Services de forma oculta desde outubro de 2025, rodando silenciosamente em segundo plano antes que a mudança fosse oficialmente anunciada.

Proposta já foi descartada antes

A polêmica atual relembrou uma tentativa semelhante em 2023. Na época, o Google propôs uma tecnologia que daria aos sites o poder de decidir quais dispositivos eram “suficientemente reais” para acessar a web. A proposta também enfrentou forte resistência, sendo abandonada pela empresa.

Especialistas apontam que, três anos depois, a mesma ideia retornou e pode complicar a vida de quem escolhe não utilizar os serviços do Google, bloqueando o tráfego legítimo em milhões de sites.

Google é alvo de críticas após mudança no reCaptcha

Resumo

• Google anunciou Cloud Fraud Defense como evolução do reCaptcha para lidar com agentes de IA na internet;
• nova ferramenta introduz desafios com QR Code para validar usuários humanos quando houver suspeita de acesso automatizado;
• novo sistema permite classificar bots e agentes legítimos, como assistentes de compras, diferenciando-os de mecanismos maliciosos.

O Google aproveitou o evento Cloud Next ’26 para anunciar uma evolução do reCaptcha. Por causa dos agentes de IA que estão invadindo a internet, a ferramenta agora pode exibir um QR Code para saber se um usuário é, de fato, humano, deixando o tradicional campo “Não sou um robô” de lado.

A mudança também pode diminuir a incidência daqueles testes que pedem para você identificar determinado tipo de objeto em sequências de imagens. Testes que, às vezes, parecem pegadinhas. No último que fiz, eu tinha que marcar os quadros que exibiam uma moto; marquei um que só mostrava um pedaço do pneu do veículo e, bom, não deu certo…

Mas a nova abordagem não visa eliminar os nossos traumas com o reCaptcha. O objetivo é armar a ferramenta contra os já mencionados agentes de IA que, até certo ponto, se comportam como humanos. Muitos deles já são capazes de resolver os testes do reCaptcha.

Até um passado recente, esse tipo de ferramenta tinha o objetivo principal de defender um site ou serviço online da ação de bots maliciosos, que são usados para extrair dados de páginas, gerar tráfego falso, entre outras ações. Ao resolver o teste ou marcar a caixa “Não sou um robô”, você prova que é humano e, então, o seu acesso é liberado.

O problema é que agentes de IA também podem fazer isso. O Google decidiu, então, atualizar o reCaptcha para que esse tipo de mecanismo seja identificado.

Mas a intenção não consiste, apenas, em barrar agentes de IA. Alguns deles podem ser bem-vindos, como aqueles que realizam compras para o usuário. Nessas circunstâncias, é importante, para uma loja online, identificar e classificar o agente de IA para que ele realize a compra, mas tenha acesso somente às informações e áreas inerentes a esse processo.

Eis que surge o Google Cloud Fraud Defense

Como identificar, classificar e tratar agentes de IA são tarefas complexas, a plataforma Google Cloud Fraud Defense foi apresentada como a evolução do reCaptcha. A novidade oferece uma série de tecnologias e abordagens para aquilo que o próprio Google chama de “web agêntica” (“agentic web”).

Basicamente, a Google Cloud Fraud Defense visa dar abertura para tráfego valioso (usuários humanos ou agentes de IA legítimos) e barrar o tráfego indesejado (bots e agentes de IA suspeitos ou obscuros).

Para tanto, a plataforma conta com recursos como Web Bot Auth (verifica se um bot é legítimo) e SPIFEE (fornece identidade para que bots ou agentes legítimos se autentiquem).

E onde entra o QR Code?

O QR Code faz parte do “desafio resistente à IA”. Quando houver suspeitas de que um agente de IA está se passando por uma pessoa, um QR Code poderá ser exibido na tela para que o usuário leia esse código com o seu celular e, assim, valide a ação solicitada, como realizar um pagamento via cartão de crédito.

O reCaptcha tradicional, com testes de quebra-cabeça, verificação de imagens ou campo “Não sou um robô”, continuará existindo. Mas, à medida que agentes de IA se tornarem mais comuns na internet, a validação via QR Code ganhará espaço até, eventualmente, se tornar a abordagem padrão do sistema do Google.

Como usuário, ainda não sei se isso é bom, afinal, ler um QR Code acaba sendo uma tarefa a mais.

Chega de motos: reCaptcha terá QR Code para checar se você é humano