Neste ano, a imprensa em geral tem noticiado uma mudança histórica: o tráfego automatizado passou a superar o tráfego iniciado por humanos na internet. E os números por trás dessa mudança são mais difíceis de ignorar do que a maioria dos marcos da história da internet.

O dado mais citado vem do Relatório Bad Bot 2025 da Imperva, a 12ª edição de sua série anual que acompanha tendências de tráfego automatizado desde 2013. Ao analisar padrões de tráfego de 2024, o relatório constatou que a atividade automatizada representou mais de 50% de todo o tráfego da web pela primeira vez em seu histórico, atingindo 51%. Vale destacar que a Imperva já havia chegado muito perto desse marco anteriormente. Seu relatório de 2024 registrou 49,6% de tráfego gerado por bots. Portanto, trata-se menos de uma ultrapassagem repentina e mais da confirmação de uma tendência que vem se consolidando há anos em diferentes fornecedores e metodologias de medição.

A Imperva não é a única a documentar essa mudança. Cloudflare, Akamai, TollBit e Human Security também publicaram dados que apontam na mesma direção. Na Kinsta, nossa própria análise de mais de 10 bilhões de solicitações em nossa infraestrutura gerenciada conta uma história consistente: o tráfego de bots de IA cresceu 300% em apenas um ano, e os efeitos já deixaram de ser abstratos.

E, embora a diferença entre o tráfego humano e o automatizado ainda seja pequena, suas implicações são enormes. Vamos olhar além do horizonte para entender como essa mudança no tráfego de bots está transformando a web.

O que são bots e por que as definições antigas já não funcionam

Tradicionalmente, bots (abreviação de robots) são aplicativos de software projetados para executar tarefas automatizadas sem intervenção humana. O mais conhecido é o Googlebot, o crawler automatizado do Google responsável por rastrear e indexar páginas da web para pesquisa. Outros bots comuns realizam monitoramento de tempo de atividade, indexação, análises, verificações de segurança e diversas outras funções que ajudam a manter a web funcionando de forma eficiente.

Embora muitos desses bots sejam inofensivos (e até benéficos), outra categoria evoluiu ao longo do tempo e se tornou muito mais problemática. Trata-se dos Crawlers de IA, que operam em uma escala capaz de sobrecarregar a infraestrutura, independentemente de sua intenção.

Em nosso Relatório sobre Tráfego de Bots e IA, David Belson, ex-diretor de Data Insights do Cloudflare, afirmou: “A maior parte do que estamos vendo não é maliciosa. São bots se comportando de maneira ineficiente em larga escala, e é aí que os verdadeiros problemas começam.”

Historicamente, bots eram relativamente fáceis de identificar, pois normalmente não conseguiam executar JavaScript, simular o movimento do cursor, manter sessões realistas de navegador ou alternar endereços IP de forma eficiente. Isso mudou drasticamente. A automação baseada em IA agora permite que bots imitem o comportamento humano com um nível surpreendente de sofisticação, disfarçando os sinais tradicionalmente usados para sua detecção.

Como diz o Belson: “Tem gente que ontem não fazia ideia do que estava fazendo, hoje criou um bot com vibe coding e simplesmente o colocou para rodar, sem nem se preocupar em verificar o robots.txt.”

Como resultado, os sistemas estão migrando cada vez mais de mecanismos de detecção baseados em identidade para análises baseadas em comportamento.

O que queremos dizer com tráfego humano?

Para que não haja confusão, quando falamos de tráfego humano, não estamos nos referindo simplesmente a cliques ou interações óbvias do usuário. O tráfego humano abrange as muitas solicitações geradas como parte da entrega e renderização de uma página da web ou da experiência de um aplicativo.

Uma única visita humana a uma página pode gerar dezenas (às vezes centenas) de solicitações. Elas podem incluir solicitações de HTML, CSS, JavaScript, fontes, imagens, APIs, scripts de análise, recursos publicitários e outros recursos necessários para renderizar uma página da web moderna.

Essa distinção é importante porque as discussões sobre tráfego de bots versus tráfego humano geralmente são medidas por solicitações e atividade de rede, e não pelo número de pessoas reais online. Um número relativamente pequeno de bots agressivos pode gerar volumes enormes de tráfego ao solicitar páginas repetidamente, extrair dados de APIs, baixar recursos ou executar ações automatizadas em escala de máquina.

Por que agora?

Diversos fatores estão acelerando o crescimento do tráfego de bots, muito além da IA generativa.

1. Retorno financeiro

Já ficou para trás a época em que brincadeiras, curiosidade ou demonstrações de habilidade técnica eram as principais motivações por trás das atividades maliciosas na internet. Hoje, a internet favorece um ambiente em que operações ilegais conduzidas por indivíduos ou grandes organizações criminosas podem gerar lucros de milhões de dólares.

Fraudes, roubo de dados, exploração e destruição de sistemas, manipulação de mercado, raspagem de conteúdo em larga escala, distribuição de ransomware e outras formas de geração de receita ilícita são realizadas em enorme escala por sistemas automatizados e bots maliciosos.

O acesso não autorizado e ilegal a dados pessoais tornou-se um grande negócio, e bots impulsionados por IA estão tornando essas atividades cada vez mais difíceis de detectar, rastrear e interromper.

2. Ambiente regulatório fraco

A internet é um ambiente global fragmentado, onde leis, fiscalização e jurisdição variam drasticamente entre países e regiões. Essa fragmentação cria um terreno fértil para que automações maliciosas prosperem.

Ambientes regulatórios frágeis permitem que bots de IA maliciosos se proliferem porque a legislação, a fiscalização e a coordenação internacional não acompanharam a rápida evolução da automação baseada em IA. Embora esse desafio exista há muito tempo no setor de tecnologia, a velocidade e a escala do desenvolvimento da IA intensificaram drasticamente o problema.

3. User agents deixaram de ser sinais confiáveis

Durante anos, os user agents forneceram um dos sinais de identidade mais confiáveis da web. Um user agent identificava de forma consistente o navegador, o sistema operacional e, em alguns casos, o dispositivo que fazia uma solicitação. Os sistemas dependiam fortemente dessas informações para diferenciar navegadores legítimos, crawlers de mecanismos de pesquisa, dispositivos móveis e bots automatizados.

Esse modelo está deixando de funcionar. Bots modernos conseguem ocultar, falsificar ou manipular user agents com tanta eficiência que esse sinal está se tornando cada vez menos confiável. Hoje, um bot malicioso pode se passar por um navegador legítimo, imitar um dispositivo móvel ou até mesmo se disfarçar como um crawler confiável. A automação baseada em IA acelerou essa tendência ao tornar técnicas sofisticadas de falsificação mais fáceis e baratas de implantar em larga escala.

Como consequência, os sistemas modernos de segurança estão cada vez mais baseados na análise de comportamento, e não apenas na identidade.

Como identificar bots atualmente

Como a reputação de IP e outros sinais tradicionais já não são totalmente confiáveis, os sistemas de detecção passaram a buscar padrões de comportamento que indiquem automação ou atividade maliciosa.

Solicitações chegando em velocidades, volumes e frequências impossíveis de serem reproduzidos por humanos continuam sendo um dos sinais mais claros de alerta. Tentativas repetidas de login, comportamentos altamente sequenciais de raspagem de dados, uso agressivo de APIs e grandes rajadas de solicitações costumam indicar que há automação em ação.

Os próprios dados de infraestrutura da Kinsta registraram um único bot gerando 3,75 milhões de solicitações para URLs de add-to-cart em um único site durante 24 horas, o equivalente a aproximadamente uma solicitação a cada 23 milissegundos, durante todo o dia, sendo que cada uma delas atingia o servidor como uma nova solicitação que não podia ser armazenada em cache.

7,67 milhões de solicitações atingiram URLs de add-to-cart em 24 horas
7,67 milhões de solicitações atingiram URLs de add-to-cart em 24 horas.

O comportamento de navegação humano tende a ser relativamente imprevisível. Bots, mesmo os mais sofisticados, frequentemente produzem padrões de interação altamente repetitivos, fluxos de navegação previsíveis ou extração sistemática de dados, mesmo quando conseguem simular a execução de JavaScript, sessões realistas de navegador e movimentos do mouse. É por isso que a detecção passou a avaliar a intenção comportamental, em vez de apenas a identidade declarada.

Na Kinsta, essa é exatamente a lógica usada para classificar o tráfego em todos os sites gerenciados. Em vez de uma simples divisão entre humano e bot, nosso sistema de proteção contra bots trabalha com seis categorias: bots verificados, prováveis humanos, prováveis bots, tráfego automatizado, tráfego não classificado e tráfego malicioso, além de uma designação separada para Crawlers de IA com taxa excessiva de solicitações, que são verificados, mas geram uma carga capaz de sobrecarregar a infraestrutura, independentemente da intenção.

Distribuição das solicitações de bots na Kinsta.
Distribuição das solicitações de bots na Kinsta.

Cada categoria recebe um tratamento diferente, porque a resposta adequada para um crawler de treinamento de IA mal configurado não é a mesma que para um ataque de credential stuffing. Por padrão, as proteções da plataforma da Kinsta bloqueiam aproximadamente 15% a 20% do tráfego classificado como malicioso antes mesmo que ele chegue ao seu site. Acima dessa camada básica, a Proteção contra Bots permite que proprietários de sites apliquem verificações ou bloqueiem categorias adicionais de acordo com seus padrões de tráfego e nível de tolerância a riscos.

Nível de proteção contra bots da Kinsta.
Nível de proteção contra bots da Kinsta.

Implicações e tendências para acompanhar

À medida que esses sistemas evoluem, seus impactos vão muito além da cibersegurança e passam a afetar infraestrutura, publicação de conteúdo, análises, eCommerce e a qualidade geral da própria web.

Existe algo no horizonte que possa desacelerar o crescimento do tráfego de bots? Os dados sugerem que não. O tráfego de bots de IA cresceu 300% em apenas um ano, e a proporção de visitas de bots de IA passou de 1 em cada 200 para 1 em cada 31 em menos de 12 meses. Como afirma Daniel Pataki, CTO da Kinsta: “Em grande escala, o rastreamento ineficiente deixa de ser um problema de tráfego e passa a ser um problema de recursos.” E as condições que impulsionam esse crescimento não estão diminuindo.

Custos da infraestrutura de hospedagem

Um dos impactos mais imediatos do aumento do tráfego de bots é o crescimento dos custos de infraestrutura. Cada solicitação feita a um site consome largura de banda do servidor, recursos computacionais, consultas ao banco de dados, memória, sistemas de cache e infraestrutura de armazenamento.

O problema é ainda mais grave em sites WordPress que executam WooCommerce, recursos de pesquisa ou utilizam muitos plugins. Ao contrário de páginas estáticas servidas pelo cache, endpoints dinâmicos exigem que o servidor execute processamento real a cada solicitação. Um bot preso em um loop de query string não consegue diferenciar uma página armazenável em cache de uma página cara para processar. Um único loop desse tipo em um site gerenciado pela Kinsta gerou 550 milhões de solicitações em 30 dias antes que uma regra específica de mitigação conseguisse interrompê-lo.

Como diz o Daniel Pataki: “Não existe ‘apenas tráfego de bots’. Toda solicitação representa trabalho real. Em grande escala, o rastreamento ineficiente deixa de ser um problema de tráfego e passa a ser um problema de recursos.”

Pequenos publicadores e proprietários de sites independentes são especialmente vulneráveis porque, em geral, não possuem os sistemas avançados de mitigação disponíveis para grandes organizações.

Análises distorcidas

O tráfego de bots de IA está distorcendo cada vez mais as métricas de análises de maneiras que podem ser extremamente enganosas. Visualizações de página infladas, engajamento falso, tráfego de referência artificial e interações automatizadas podem levar gestores a tomar decisões com base em dados pouco confiáveis.

O problema se intensifica à medida que os bots se tornam mais parecidos com humanos. Ferramentas que dependem do rastreamento por JavaScript, como o Google Analytics, tendem a subestimar a atividade dos bots porque muitos deles não executam JavaScript. Já as análises em nível de servidor, que contabilizam todas as solicitações baseadas em IP, tendem a superestimar esses números porque registram bots que o JavaScript não consegue detectar.

Na Kinsta, as Análises do MyKinsta são baseadas nos registros de acesso do servidor e excluem explicitamente user agents de bots conhecidos da contagem de visitas faturáveis. Ainda assim, essa distinção tem limites, pois tráfego automatizado que imita de forma convincente o comportamento humano ainda pode aparecer nos relatórios.

A partir de novembro de 2025, os gráficos de Principais Solicitações da Kinsta passaram a refletir todo o tráfego, incluindo bots, justamente para oferecer aos proprietários de sites uma visão mais clara do que realmente está atingindo sua infraestrutura em comparação com aquilo que é efetivamente cobrado.

Principais solicitações da Kinsta por largura de banda do servidor.
Principais solicitações da Kinsta por largura de banda do servidor.

Quando as visualizações de página aumentam, mas o volume de pesquisas pela marca, as conversões e o tráfego direto permanecem estáveis, é quase certo que os bots sejam responsáveis por essa diferença.

O surgimento da “dead web”

O chamado fenômeno da “dead web” refere-se ao crescimento acelerado de conteúdo de baixa qualidade gerado por máquinas na internet. Embora algumas das versões mais extremas dessa teoria entrem no campo da especulação, há poucas dúvidas de que a IA tornou muito mais fácil produzir artigos sintéticos, avaliações falsas, blogs de spam, conteúdo multimídia automatizado e outros materiais de baixo valor em enorme escala.

O resultado pode ser uma web poluída, na qual encontrar informações confiáveis e realmente úteis se torna cada vez mais difícil.

Maior risco de segurança causado por bots maliciosos

Bots impulsionados por IA estão aumentando significativamente a sofisticação dos ataques cibernéticos. Ataques de credential stuffing, invasões de contas, abuso de APIs, campanhas de phishing, varreduras em busca de vulnerabilidades e distribuição de ransomware estão se tornando mais rápidos, escaláveis e adaptáveis graças à automação.

Como sistemas de IA conseguem aprender com falhas e aprimorar continuamente seus métodos, as defesas tradicionais baseadas em regras têm cada vez mais dificuldade para acompanhar esse ritmo.

A economia da raspagem de dados e a inversão econômica

Historicamente, crawlers de mecanismos de pesquisa, como o Googlebot, criavam uma relação econômica relativamente equilibrada com os publicadores. Eles rastreavam o conteúdo, o indexavam e depois direcionavam tráfego de volta aos sites de origem.

Os modernos sistemas de raspagem de dados baseados em IA estão mudando essa relação. Cada vez mais, sistemas de IA extraem conteúdo, resumem informações em outros lugares e fornecem respostas diretamente aos usuários sem necessariamente devolver tráfego à fonte original. Isso cria uma crescente economia da raspagem de dados, na qual publicadores e criadores assumem os custos de produzir conteúdo e manter a infraestrutura, enquanto sistemas automatizados capturam grande parte do valor gerado posteriormente.

Navegadores com IA e agentes autônomos

Esses sistemas estão indo muito além da simples navegação automatizada na web. Agentes impulsionados por IA agora conseguem navegar na internet, interagir com aplicativos, realizar pesquisas, fazer compras on-line, agendar compromissos, preencher formulários e tomar decisões com pouca ou nenhuma intervenção humana.

À medida que esses sistemas continuam evoluindo, a linha que separa a atividade humana da atividade conduzida por máquinas está se tornando cada vez mais difícil de identificar. Essa mudança pode transformar fundamentalmente até mesmo o significado do que entendemos por “tráfego da web” no futuro.

A internet foi originalmente construída com base na premissa de que os humanos eram seus principais participantes. Essa premissa está desaparecendo rapidamente. À medida que a automação baseada em IA se torna cada vez mais autônoma, o futuro da web talvez dependa menos de distinguir humanos de bots e mais de decidir que tipo de internet conduzida por máquinas estamos dispostos a aceitar.

A linha entre humanos e máquinas desapareceu

O impacto dessa mudança vai muito além do que a maioria dos proprietários de sites imagina. Os custos de infraestrutura estão aumentando. As análises estão se tornando cada vez menos confiáveis. A economia da raspagem de dados está transferindo valor dos publicadores que produzem conteúdo para os sistemas que o extraem. E, à medida que agentes impulsionados por IA passam a navegar, pesquisar e tomar decisões de forma autônoma, a pergunta deixa de ser “como gerencio o tráfego de bots?” e passa a ser algo muito maior.

A internet foi construída com base na premissa de que havia uma pessoa do outro lado de cada solicitação. Essa premissa está se deteriorando mais rapidamente do que a infraestrutura, as regulamentações e os modelos de negócio construídos sobre ela conseguem acompanhar.

Já estamos vivendo uma era em que máquinas se comunicam com máquinas sem a necessidade de interação humana.

Para uma análise mais aprofundada dos dados por trás dessa mudança, leia o Relatório sobre Tráfego de Bots e IA da Kinsta. Se você já está percebendo esses efeitos no seu site, a Proteção contra Bots da Kinsta oferece os controles necessários para gerenciá-los.

Bud Kraus

Bud Kraus has been working with WordPress as an in-class and online instructor, site developer, and content creator since 2009. He has produced instructional videos and written many articles for WordPress businesses.