mondaycom、AI エージェント認証ツール HATCHA を公開──人間には苦痛で AI には容易な課題でアクセスを制限
人間には計算負荷が高い 5 種類の課題を解かせることで、ボットや AI エージェントのアクセスを遮断するリバース CAPTCHA 実装。
リリース: 2026-03-11 · 読了 3 分記事の要約
1. 核心(What)
- AI エージェントのアクセスを制御するリバース CAPTCHA ライブラリ HATCHA を公開。
- 5 種類の課題(5 桁の掛け算、文字列の反転、文字数カウント、ソート、バイナリデコード)を標準搭載。
- サーバーサイドで HMAC 署名を行い、回答をクライアントに渡さず検証するステートレスな設計。
- Next.js App Router および Express ミドルウェア向けのパッケージを提供。
2. 影響(Why)
- AI エージェントの不正利用抑止: 人間には手間のかかる計算を強いることで、API 経由で自動化されたボットや AI エージェントのアクセスをフィルタリングし、リソースの枯渇を防ぐ。
- 国内 SaaS におけるエージェント対策: 国内の Web サービス運営者や中規模 SaaS 事業者は、API 悪用やスクレイピングを行うエージェントに対し、従来の画像認識 CAPTCHA とは異なる「計算コスト」による防御層を構築できる。
3. 根拠・詳細(How)
- HMAC 署名による検証機構: サーバーサイドで生成した課題に対し HMAC 署名を行い、クライアント側へは回答を含まないトークンのみを送信。検証時はサーバー側で署名を照合するため、回答データがクライアント側に漏洩しない。
- 拡張可能なチャレンジ設計: registerChallenge API を通じて、標準の 5 種類以外にも独自の課題生成ロジックをランタイムで追加可能。CSS 変数(--hatcha-*)によるテーマカスタマイズにも対応。
4. 展望・課題(Next)
- コミュニティによる課題追加: OSS として公開されており、コントリビューションを通じてより高度な計算課題や、特定の AI エージェントに特化した検知ロジックの拡充が予定されている。