Oferecido por
Durante anos, o fluxo de acessos foi o termômetro da Internet: mais tráfego significava mais interesse, mais demanda e mais oportunidades. Naquela época, a web era majoritariamente humana, com pessoas reais do outro lado da tela, clicando, lendo e comprando.
Depois da ascensão da Inteligência Artificial, bots passaram a visitar portais com cada vez mais frequência, e nem todos chegam com as melhores intenções. Esse novo contexto já aparece nos números. Hoje, uma fatia relevante das interações na web e em APIs (ferramentas que permitem a comunicação entre softwares) já é automatizada. Segundo o relatório “2025 Advanced Persistent Bots Report”, da F5, que analisou mais de 200 bilhões de transações, cerca de 10% do tráfego medido foi gerado por automação, um percentual que pode ultrapassar 40% em determinados setores.
Esse tráfego, porém, não é homogêneo. Há acessos legítimos e esperados, e há automações que distorcem o funcionamento das operações. Na prática, isso muda os requisitos de funcionamento de um site. O mesmo volume, que antes indicava alcance, agora pode significar pressão de infraestrutura, coleta automática de conteúdo, tentativas de abuso de APIs e, sobretudo, distorção das métricas que orientam investimento, priorização e leitura de negócio.
Diante disso, preparar portais para a era dos bots inteligentes não é apenas bloquear robôs. É gerir um fluxo cada vez mais híbrido, separar acessos legítimos de automação hostil e adotar regras, monitoramento e uma arquitetura que sustentem desempenho, segurança e confiança nos dados.
Nem todo bot é inimigo
Nas páginas de conteúdo, boa parte das requisições não vem de pessoas lendo e navegando, mas de softwares que coletam informação em escala. Na mesma amostra analisada pela F5, automação associada à raspagem de dados respondeu por mais da metade dos acessos a esse tipo de página e por quase um quarto das buscas na web, sinal de que a disputa por informação deixou de ser apenas humana.
Esse movimento ganhou tração com a popularização de agentes de IA, que precisam “varrer” a web para alimentar respostas e modelos. Nesse contexto, content scraping (ou raspagem de conteúdo) se intensifica: bots extraem grandes volumes de dados diretamente de sites, elevando o custo operacional e gerando ruído nos dados, com mais requisições, maior consumo de infraestrutura e menos clareza sobre o que é demanda real. Por isso, é importante separar os tipos de automação em jogo.
Primeiramente, existem os bots funcionais, automações legítimas que ajudam o ecossistema digital a operar. Isso inclui os indexadores, robôs de mecanismos de busca que percorrem páginas para entender o conteúdo e organizá-lo em resultados de pesquisa, e também serviços parceiros, como comparadores de preços e sistemas de entrega, que acessam o portal para cumprir tarefas específicas. Em geral, essa automação não age de forma oculta. Marcel Tanuri, consultor sênior da Liferay, desenvolvedora líder de plataformas de experiência digital (DXPs) explica que “bots legítimos costumam se identificar, não tentam se esconder e carregam metadados que explicam quem são e por que estão ali”.
Também existem os bots indesejados, que ocupam uma zona cinzenta entre a automação útil e o ataque direto. Isso abrange raspadores comerciais ou de concorrentes, e robôs de spam, que tentam passar despercebidos e, muitas vezes, imitam a navegação humana. O efeito aparece como pressão sobre infraestrutura e banda, sobretudo como ruído nas métricas.
Por fim, existem os bots maliciosos, desenhados para causar dano ou obter vantagem ao explorar brechas e abusar de interfaces. Segundo Marcel, eles são a maior preocupação para as empresas porque “envolvem a degradação de performance e a segurança”.
Entre as principais frentes estão o web scraping agressivo, que rouba conteúdo intelectual; o abuso de APIs críticas, que sobrecarrega, explora ou extrai dados de interfaces essenciais e compromete o funcionamento do serviço; ataques de DDoS, que inundam o portal com requisições para derrubar ou degradar a operação; e a personificação de bots legítimos, quando robôs maliciosos se passam por automações confiáveis para driblar filtros, distorcer métricas e afetar a reputação da marca.
A leitura do negócio quando as métricas deixam de medir
A partir do momento em que bots se passam por pessoas reais, o portal perde um dos seus instrumentos mais básicos de gestão: a capacidade de medir a demanda. Como observa Marcel Tanuri, da Liferay, “quando bots se passam por humanos, eles ‘poluem’ os analytics, gerando números falsos de acessos e conversões.” Na prática, visitas, páginas vistas e até etapas de funil podem inflar sem gerar receita, mascarando quedas de conversão e distorcendo a atribuição de campanhas.
O problema se torna ainda mais sensível porque dados ruins não afetam apenas relatórios. Eles comprometem testes e modelos que dependem de comportamento humano, como personalização, recomendação e segmentação de audiência.
Podendo levar a ajustes que pioram a experiência de quem de fato importa, o público.
Para Marcel, a tendência é que as organizações tenham de conviver cada vez mais com essa dicotomia entre otimizar o portal para “conversar” com bots e seguir entregando experiências relevantes para pessoas. Reagir a esse cenário exige reconstruir a confiança na leitura de negócio e criar condições para que o portal opere com previsibilidade, diferenciando bots de humanos ao mesmo tempo que preserva desempenho, segurança e qualidade dos dados.
Entre pessoas reais e bots, como governar o território híbrido?
A resposta mais consistente para a era dos bots inteligentes é tratar a automação como governança, e não como um problema pontual de bloqueio. De acordo com Marcel, isso significa “adotar uma política clara de permitir, limitar ou proibir [acessos automatizados]”, com critérios ligados ao valor para o negócio e ao risco operacional. A lógica evita dois extremos: abrir demais e perder controle, ou restringir demais e comprometer indexação, integrações e serviços legítimos.
Na operação, essa política se organiza em um ciclo de prevenção, detecção e resposta. Na prevenção, o portal explicita regras para bots confiáveis com recursos como robots.txt, cabeçalhos HTTP e meta tags, deixando claro o que pode ser acessado e quais as condições. Na detecção, o foco recai sobre comportamento: monitorar identificadores de acesso e padrões de navegação, como repetição em alta frequência, rotas improváveis, concentração de chamadas em pontos sensíveis e tentativas persistentes.
Na resposta, entram controles para conter picos e proteger a operação, como limites de requisições, uso de cache e rede de distribuição de conteúdo para resguardar a origem do portal e escalonamento automático para sustentar aumentos súbitos sem degradar a experiência do usuário. Além disso, é necessário combinar medidas em camadas, porque a pressão tende a ser recorrente, como confirma o relatório “Why Botnets Persist: Designing Effective Technical and Policy Interventions” (2019), da MIT Internet Policy Research Initiative: redes maliciosas se adaptam e reaparecem com facilidade, o que exige uma defesa permanente, revisada e ajustada ao longo do tempo.
Defender não resolve tudo: é preciso preparar sites para IA
Ainda assim, não basta apenas conter o tráfego hostil e reagir a picos. Para reduzir custo, ruído e atrito, é necessário tornar o consumo legítimo de informação mais previsível e controlável, definindo como essas automações devem interagir com o portal. Como explica Marcel, não basta “fechar a porta” para os bots de IA. É preciso “otimizar o portal para que ele priorize as automações legítimas, as que de fato vão gerar valor”, diz Tanuri.
Na prática, essa otimização se traduz em uma lógica de priorização orientada ao ROI (retorno do investimento). Bots funcionais e desejados podem receber prioridade em cache e em escalonamento automático (Auto Scaling), preservando desempenho nos pontos de maior valor. Já bots indesejados ou abusivos, como scrapers de concorrentes, podem ser redirecionados para páginas de erro ou ter a velocidade drasticamente reduzida (throttling), protegendo recursos do sistema e margem de lucro.
Para sustentar essa priorização, a preparação para agentes de IA pode ser organizada em quatro pilares: arquitetura componível, que facilita a interoperabilidade; dados estruturados e padronizados para explicitar contexto e hierarquia; APIs bem documentadas, com governança e versionamento para delimitar o que pode ser consultado e acionado; e a busca semântica para recuperar informação com precisão contextual, reduzindo varreduras extensas.
Trata-se de uma preparação que também sinaliza uma mudança na forma como a internet opera. Com a chegada dos agentes autônomos, os sites precisam ir além de “palavras-chave para humanos” e pensar em legibilidade para máquinas, estruturando o conteúdo para ser interpretado com contexto e precisão. Nesse processo, o portal pode negociar, via robots.txt e permissões, o que pode ou não ser usado para treinamento. E a AI Optimization ganha um objetivo claro: fazer com que a IA cite a marca corretamente e reconheça a autoridade da organização, em vez de apenas extrair o dado.
Com esses caminhos definidos, observabilidade vira requisito. Marcel explica que, como o tráfego é híbrido, é preciso monitorar quem acessa e de que forma, reconhecendo assinaturas de bots conhecidos e padrões anômalos. Além disso, a segmentação técnica pode reforçar essa separação, com camadas de autenticação em pontos sensíveis e regras distintas para humanos, bots confiáveis e tráfego suspeito, garantindo que a leitura de negócio se baseie em interações. E, quando surgir um desvio, a telemetria (coleta automática de dados de desempenho e uso) deve separar o efeito dos bots da experiência percebida pelo usuário real, indicando se a automação está deixando o portal mais lento para pessoas.
À medida que a internet se adapta a essa nova era de agentes autônomos, é essencial que as organizações não apenas reajam, mas antecipem o futuro digital. Em um mundo movido por máquinas e algoritmos, a verdadeira vantagem competitiva será dada pela capacidade de integrar inovação de forma responsável e estratégica, priorizando o valor para todos os envolvidos.
MIT Technology Review
