FunCaptcha
i CapMonster Cloud

Rozwiązywanie captchy, instalacja na stronie i testowanie.

Odziedziczyłeś stronę z już wdrożoną captchą lub ochroną, ale bez dostępu do kodu źródłowego? Naturalnie pojawia się pytanie, jaka technologia jest używana, czy działa poprawnie i jak ją przetestować.

W tym artykule staraliśmy się odpowiedzieć na wszystkie najważniejsze pytania. Pierwszym krokiem w rozwiązywaniu problemu jest ustalenie, jaki system ochrony jest używany. W tym celu możesz skorzystać z listy popularnych captcha i systemów ochrony antybotowej, gdzie znajdziesz przykłady graficzne oraz kluczowe cechy, które pomogą szybko rozpoznać, z czym masz do czynienia.

Jeśli okaże się, że na Twojej stronie używany jest FunCaptcha (Arkose Labs CAPTCHA), kolejnym krokiem będzie dokładniejsze poznanie jej właściwości i sposobu działania. W tym artykule możesz również zapoznać się z instrukcją integracji systemu FunCaptcha (Arkose Labs CAPTCHA), aby w pełni zrozumieć, jak funkcjonuje on na Twojej stronie. Dzięki temu nie tylko lepiej poznasz obecną ochronę, ale też świadomie zaplanujesz jej dalsze utrzymanie.

Czym jest FunCaptcha

FunCaptcha to interaktywny system ochrony przed botami opracowany przez Arkose Labs. Sprawdza, czy użytkownik jest prawdziwym człowiekiem, poprzez grywalne i wizualne zadania, które są łatwe dla ludzi, ale trudne do automatyzacji. FunCaptcha stosuje się do ochrony rejestracji, logowania, płatności online, kampanii marketingowych oraz zapobiegania oszustwom, spamowi i masowym automatycznym działaniom.

Przykłady FunCaptcha

Obrót obiektu 3D

Użytkownik obraca model 3D lub figurę, aby ustawić ją w prawidłowej pozycji.

Wybór obiektów według reguły

Należy wybrać obrazy lub elementy zgodne z określoną regułą (np. 'wybierz wszystkie jabłka').

Zadania interaktywne (przeciągnij i upuść / podążanie ścieżką)

Wykonuje działania na elementach, np. przeciąga je wzdłuż określonej ścieżki.

Pytania audio

Użytkownik słucha audio i wybiera poprawną odpowiedź (rzadziej używane jako alternatywa dla zadań wizualnych).

Jak rozwiązać FunCaptcha przez CapMonster Cloud

Podczas testowania formularzy z FunCaptcha często pojawia się potrzeba sprawdzenia działania captchy i upewnienia się, że jest poprawnie zintegrowana.

Możesz ręcznie przetestować captchę umieszczoną na swojej stronie.

Otwórz stronę z formularzem i upewnij się, że captcha jest widoczna.
Spróbuj wysłać formularz bez rozwiązania captchy — serwer powinien zwrócić błąd.
Po poprawnym rozwiązaniu captchy — formularz powinien zostać wysłany bez błędów.

Aby automatycznie rozpoznać captchę można użyć specjalistycznych usług, np. CapMonster Cloud — narzędzie, które przyjmuje parametry captchy, przetwarza je na swoich serwerach i zwraca gotowy token. Token można wstawić do formularza, aby przejść weryfikację bez udziału użytkownika.

Praca z CapMonster Cloud poprzez API zazwyczaj obejmuje następujące kroki:

Tworzenie zadania

Na tym etapie przekazujesz klucz API, typ captchy i jej parametry. Serwis zwraca unikalny taskId, po którym później można pobrać wynik.

Wysyłanie żądania API

W żądaniu do rozwiązania FunCaptcha należy podać następujące parametry:

type - FunCaptchaTask

websiteURL - adres strony, na której captcha jest rozwiązywana;

websitePublicKey - klucz FunCaptcha (wartość public key lub pk);

data - dodatkowy parametr. Wymagany, jeśli na stronie użyto data[blob];

funcaptchaApiJSSubdomain - subdomena Arkose Labs (wartość surl). Podaj, jeśli różni się od standardowej: client-api.arkoselabs.com

userAgent - User-Agent przeglądarki. Podawaj tylko aktualny UA z systemu Windows.

Do tego zadania konieczne jest użycie własnych proxy:

proxyType :

http - standardowy proxy HTTP/HTTPS;
https - użyj, jeśli 'http' nie działa (wymagane dla niektórych niestandardowych proxy);
socks4 - proxy typu SOCKS4;
socks5 - proxy typu SOCKS5.

proxyAddress - Adres IP proxy IPv4/IPv6.

proxyPort - Port proxy.

proxyLogin - Login serwera proxy.

proxyPassword - Hasło serwera proxy.

Więcej o parametrach i ich automatycznym pozyskiwaniu znajdziesz w dokumentacji CapMonster Cloud.

Adres do wysyłania zadań:

https://api.capmonster.cloud/createTask

Przykład żądania:


{
  "clientKey": "API_KEY",
  "task": {
    "type": "FunCaptchaTask",
    "websiteURL": "https://www.example.com",
    "websitePublicKey": "EX72CCFB-26EX-40E5-91E6-85EX70BE98ED",
    "funcaptchaApiJSSubdomain": "example-api.arkoselabs.com",
    "data": "{\"blob\":\"nj9UbL+yio7goOlTQ/b64t.ayrrBnP6kPgzlKYCP/kv491lKS...Wot/7gjpyIxs7VYb0+QuRcfQ/t6bzh5pXDkOFSskA/V/ITSVZSAlglIplLcdreZ4PE8skfMU6k1Q\"}",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/145.0.0.0 Safari/537.36",
    "proxyType": "http",  // Dodaj proxy, jeśli jest potrzebne
    "proxyAddress": "8.8.8.8",
    "proxyPort": 8080,
    "proxyLogin": "proxyLoginHere",
    "proxyPassword": "proxyPasswordHere"
  }
}

Odpowiedź:

{
  "errorId":0,
  "taskId":407533072
}

Odebranie wyniku

Po utworzeniu zadania regularnie sprawdzaj status rozwiązania.

Adres do otrzymania wyniku:

https://api.capmonster.cloud/getTaskResult

Przykład żądania:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Odpowiedź:


{
  "errorId": 0,
  "errorCode": null,
  "errorDescription": null,
  "solution": {
    "token": "337187b9f57678923.5060184402|r=us-west-2|lang=en|pk=EX72CCFB-26EX-40E5-91E6-85EX70BE98ED|at=40|ag=101|cdn_url=https%3A%2F%2Fclient-api.arkoselabs.com%2Fcdn%2Ffc|surl=https%3A%2F%2Fclient-api.arkoselabs.com|smurl=https%3A%2F%2Fclient-api.arkoselabs.com%2Fcdn%2Ffc%2Fassets%2Fstyle-manager",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36"
  },
  "status": "ready"
}

Umieszczenie tokenu na stronie

Otrzymany token można wstawić do ukrytego pola formularza lub wywołać funkcję JS na stronie w celu potwierdzenia rozwiązania. Serwer zaakceptuje formularz jako poprawnie wypełniony. Do automatyzacji i testowania wygodne jest użycie Puppeteer, Selenium lub Playwright, które pozwalają emulować działania użytkownika, wstawiać tokeny i wysyłać formularze.


// npm install playwright
const { chromium } = require("playwright");

const WEBSITE_URL = "https://example.com";
// token otrzymany od CapMonster Cloud
const FUN_CAPTCHA_TOKEN = "PUT_YOUR_FUN_CAPTCHA_TOKEN_HERE"; 

(async () => {
  const browser = await chromium.launch({ headless: false });
  const context = await browser.newContext();
  const page = await context.newPage();

  /**
   * Uniwersalny przechwytywacz Arkose (v1 / v2)
   * Wykonywane przed załadowaniem strony
   */
  await page.addInitScript(() => {
    const callbacks = [];

    function captureCallback(cb, source) {
      if (typeof cb === "function") {
        callbacks.push(cb);
        console.log("[Arkose] callback captured from", source);
      }
    }

    function patchRender(obj, name) {
      if (!obj || typeof obj.render !== "function") return;

      const originalRender = obj.render;
      obj.render = function (container, options = {}) {
        captureCallback(options.callback, name + ".render");
        return originalRender.apply(this, arguments);
      };
    }

    // Przechwycenie przez Object.defineProperty (często używane w Arkose)
    const originalDefineProperty = Object.defineProperty;
    Object.defineProperty = function (target, prop, descriptor) {
      if (
        (prop === "FunCaptcha" || prop === "ArkoseEnforcement") &&
        descriptor &&
        typeof descriptor.value === "object"
      ) {
        patchRender(descriptor.value, prop);
      }
      return originalDefineProperty.apply(this, arguments);
    };

    // Fallback: okresowe sprawdzanie obiektów globalnych
    const interval = setInterval(() => {
      if (window.FunCaptcha) patchRender(window.FunCaptcha, "FunCaptcha");
      if (window.ArkoseEnforcement)
        patchRender(window.ArkoseEnforcement, "ArkoseEnforcement");

      if (callbacks.length > 0) clearInterval(interval);
    }, 200);

    // Uniwersalny punkt do przekazania tokena
    window.__arkoseSolve = function (token) {
      if (callbacks.length > 0) {
        callbacks.forEach((cb) => cb(token));
        console.log("[Arkose] token delivered via captured callbacks");
        return true;
      }

      // Alternatywne opcje
      if (typeof window.arkoseCallback === "function") {
        window.arkoseCallback(token);
        console.log("[Arkose] token delivered via arkoseCallback");
        return true;
      }

      // Fallback
      window._arkoseToken = token;
      console.log("[Arkose] token stored in window._arkoseToken");
      return false;
    };
  });

  /**
   * Otwórz stronę
   */
  console.log("Opening page...");
  await page.goto(WEBSITE_URL, { waitUntil: "domcontentloaded" });

  /**
   * Tutaj strona powinna zainicjalizować FunCaptcha
   * (rejestracja, logowanie, przycisk, formularz itp.)
   */

  /**
   * Przekazujemy gotowy token
   */
  console.log("Injecting FunCaptcha token...");
  await page.evaluate((token) => {
    if (!window.__arkoseSolve) {
      console.log("[Arkose] solver not ready");
      return;
    }
    window.__arkoseSolve(token);
  }, FUN_CAPTCHA_TOKEN);

  /**
   * Daj stronie czas na przetworzenie wyniku
   */
  await page.waitForTimeout(5000);

  console.log("Done.");
  await browser.close();
})();

Dostępna jest również wygodna możliwość testowania rozpoznawania captcha za pomocą rozszerzenia przeglądarkowego CapMonster Cloud, które umożliwia szybkie sprawdzanie działania captchy bez pisania kodu — dostępne do instalacji w Chrome i Firefox.

Jak podłączyć FunCaptcha do swojej strony

Aby pewnie orientować się w działaniu captchy na swojej stronie, rozumieć logikę weryfikacji i ewentualnie ponownie podłączyć lub skonfigurować ochronę, zalecamy zapoznanie się z tym działem. Opisuje on proces podłączenia ochrony i pozwala szybko zrozumieć wszystkie szczegóły.

Zarejestruj się w Arkose Labs i uzyskaj dostęp do Arkose Command Center (można wysłać dane w czacie w formularzu — np. tutaj lub tutaj).
Po uzyskaniu dostępu pobierz dwa klucze (Public / Private) w sekcji Settings → Keys.
W razie potrzeby skontaktuj się z Customer Success Manager (CSM) w celu:
- uzyskania niestandardowych domen API;
- weryfikacji schematów żądań i odpowiedzi API.

Zalecenia Arkose

Do testów używaj Development Key.
Dla każdego workflow używaj osobnego Production Key (login, rejestracja, zakup itd.).
Używaj różnych kluczy dla różnych stron.

Ogólny proces działania

Klient zbiera dane i w razie potrzeby pokazuje challenge.
Klient otrzymuje jednorazowy token.
Serwer weryfikuje token przez Arkose Verify API.

Krok 1. Integracja po stronie klienta

Po stronie przeglądarki (Arkose Bot Manager):

analizuje zachowanie użytkownika;
pokazuje w razie potrzeby Enforcement Challenge;
zwraca token sesji.

Client API:

Do testów można użyć:
client-api.arkoselabs.com
Dla produkcji warto wskazać niestandardową domenę:
<company>-api.arkoselabs.com

Główne wymagania

Skrypt klienta Arkose podłączany jest tylko raz na stronę
Koniecznie zdefiniuj globalny callback
Konieczne wywołanie setConfig()
Na podstawie wyniku podejmowana jest decyzja o zezwoleniu lub odrzuceniu akcji.

Wynik klienta — token, który należy wysłać na serwer.

Przykład integracji


<html>
<head>
  <!--
    Podłącz API Arkose Labs w <head> strony. W przykładzie upewnij się:
    - zamień <YOUR PUBLIC KEY> na publiczny klucz wydany przez Arkose Labs;
    - zamień <YOUR CALLBACK> na nazwę globalnej funkcji callback, którą zdefiniujesz.
   Przykład:
    <script src="//client-api.arkoselabs.com/v2/<YOUR PUBLIC KEY>/api.js"
            data-callback="setupDetect"></script>
  -->
  <script src="//client-api.arkoselabs.com/v2/<YOUR PUBLIC KEY>/api.js" data-callback="<YOUR CALLBACK>"></script>
  <link rel="shortcut icon" href="#">
  <meta charset="UTF-8">
</head>

<body>
  <!--
    Element wyzwalający może znajdować się w dowolnym miejscu strony i może być dodany do DOM w dowolnym momencie.
  -->
  <button id="arkose-trigger">
    element wyzwalający
  </button>

  <!--
    Do konfiguracji Arkose (tryb detection lub enforcement) umieść skrypt przed zamknięciem </body> i zdefiniuj funkcję callback jako globalną.
  -->
  <script>
    /*
      Funkcja globalna zostanie wywołana, gdy API Arkose będzie gotowe. Nazwa funkcji musi zgadzać się z atrybutem data-callback w tagu script ładującym Arkose API.
    */
    function setupArkose(myArkose) {
      myArkose.setConfig({
        selector: '#arkose-trigger',
        onCompleted: function(response) {
          // Jednorazowy token, który należy wysłać na serwer
          console.log(response.token);
        }
      });
    }
  </script>
</body>
</html>

Krok 2. Weryfikacja po stronie serwera

Na serwerze wykonywana jest weryfikacja tokena przez Arkose Verify API.

Verify API endpoint

https://<company>-verify.arkoselabs.com/api/v4/verify/

Wymagane parametry żądania

Przykład ciała żądania POST


{
  "private_key": "_PRIVATE_KEY_HERE_",
  "session_token": "_SESSION_TOKEN_HERE_",
  "log_data": "_LOG_DATA_HERE_"
}

Odpowiedź API zawiera informacje o sesji i wynik weryfikacji.

Kluczowe punkty

Przykład weryfikacji serwera w PHP:


<?php
$private_key = 'YOUR_PRIVATE_KEY';
$verify_url = 'https://<company>-verify.arkoselabs.com/api/v4/verify/';

$input = json_decode(file_get_contents('php://input'), true);
$session_token = $input['session_token'] ?? null;
$log_data = $input['log_data'] ?? '';
$email_address = $input['email_address'] ?? '';

if (!$session_token) {
    http_response_code(400);
    echo json_encode(['error' => 'Brak tokena sesji']);
    exit;
}

$data = [
    'private_key' => $private_key,
    'session_token' => $session_token,
    'log_data' => $log_data,
    'email_address' => $email_address
];

$options = [
    'http' => [
        'header'  => "Content-Type: application/json\r\n",
        'method'  => 'POST',
        'content' => json_encode($data),
    ],
];

$context  = stream_context_create($options);
$result = file_get_contents($verify_url, false, $context);

if ($result === FALSE) {
    http_response_code(500);
    echo json_encode(['error' => 'Błąd podczas weryfikacji captchy']);
    exit;
}

echo $result;
?>

Jak to działa:

Szczegółowe informacje o podłączeniu FunCaptcha do strony znajdziesz w oficjalnej dokumentacji.

Możliwe błędy i debugowanie

Nieprawidłowe parametry żądania

Upewnij się, że podałeś poprawny Public Key dla klienta i Private Key dla serwera oraz przesyłasz poprawny session_token do Verify API.

Pusty lub nieprawidłowy session_token

Serwer otrzyma pusty wynik lub błąd weryfikacji. Sprawdź, czy klient prawidłowo przesyła token po rozwiązaniu captchy.

Przekroczono czas rozwiązania

Jeśli użytkownik nie zakończy weryfikacji na czas, serwer Arkose może zwrócić błąd lub odrzucić weryfikację. Zwiększ dopuszczalny czas oczekiwania po stronie serwera.

Sprawdzenie odporności ochrony

Spróbuj wysłać żądanie bez session_token — weryfikacja serwera powinna zwrócić błąd i odrzucić żądanie.

Przeprowadź test obciążeniowy (np. przez k6 lub JMeter) przy 100–200+ żądań na sekundę — captcha powinna poprawnie się inicjalizować, a backend stabilnie obsługiwać weryfikacje.

Sprawdź działanie przy wygasłym tokenie (session_token) — serwer powinien zwrócić błąd i odrzucić weryfikację.

Sprawdź ponowne użycie tego samego token — oczekiwana odpowiedź: weryfikacja odrzucona.

Rekomendacje dotyczące bezpieczeństwa i optymalizacji

<b>Przechowuj Private Key tylko na serwerze</b>, nie umieszczaj go w kodzie JS klienta.

Przechowuj Private Key tylko na serwerze, nie umieszczaj go w kodzie JS klienta.

Loguj pełne odpowiedzi Arkose Verify API, w tym status weryfikacji, kod błędu i przesłane parametry — to pomaga szybciej diagnozować problemy.

Loguj pełne odpowiedzi Arkose Verify API, w tym status weryfikacji, kod błędu i przesłane parametry — to pomaga szybciej diagnozować problemy.

Używaj <b>HTTPS</b> dla wszystkich żądań (klient → serwer → Verify API), aby wykluczyć podszywanie się pod dane.

Używaj HTTPS dla wszystkich żądań (klient → serwer → Verify API), aby wykluczyć podszywanie się pod dane.

Umieść na stronie linki do <b>Polityki prywatności</b> i <b>Warunków korzystania z Arkose Labs</b>, zgodnie z wymogami licencji.

Umieść na stronie linki do Polityki prywatności i Warunków korzystania z Arkose Labs, zgodnie z wymogami licencji.

Wnioski

Jeśli przejąłeś stronę internetową, na której jest już zainstalowany captcha lub inny system zabezpieczeń, a jednocześnie nie masz dostępu do kodu — to nic strasznego! Dość łatwo jest ustalić, jaka dokładnie technologia jest używana. Aby sprawdzić poprawność działania, możesz skorzystać z usługi rozpoznawania CapMonster Cloud w odizolowanym środowisku testowym, żeby upewnić się, że mechanizm przetwarzania tokenów i logika weryfikacji działają prawidłowo.

W przypadku FunCaptcha wystarczy rozpoznać system, przeanalizować jego zachowanie i upewnić się, że zabezpieczenie działa poprawnie. W artykule pokazaliśmy, jak zidentyfikować FunCaptcha oraz gdzie znaleźć instrukcje dotyczące jego podłączenia lub ponownej konfiguracji, aby móc pewnie utrzymywać ochronę i kontrolować jej działanie.

Przydatne linki

Dokumentacja FunCaptcha (Arkose Labs CAPTCHA) →

Formularz zgłoszeniowy podłączenia FunCaptcha →

Dokumentacja CapMonster Cloud (praca z FunCaptcha) →

Rozszerzenie CapMonster Cloud jest dostępne dla Chrome i Firefox. Pełną instrukcję instalacji i użycia znajdziesz tutaj.

FunCaptcha i CapMonster Cloud

Jak rozwiązać FunCaptcha przez CapMonster Cloud

FunCaptcha
i CapMonster Cloud