FunCaptcha
e CapMonster Cloud

Solução de captcha, instalação no site e testes.

Herdou um site com captcha ou outra proteção mas sem acesso ao código-fonte? É natural perguntar qual solução está instalada, se está configurada corretamente e como testá-la.

Neste artigo procurámos responder a todas as questões importantes. Para começar a resolver o problema, o primeiro passo é identificar que sistema de proteção está a ser utilizado. Para isso, pode consultar a lista de captchas e sistemas de proteção antibot mais populares, onde encontrará exemplos visuais e sinais principais que ajudam a perceber rapidamente com o que está a lidar.

Se verificar que o seu site utiliza FunCaptcha (Arkose Labs CAPTCHA), o passo seguinte é analisar mais detalhadamente as suas características e o seu funcionamento. Neste mesmo artigo também pode consultar o guia de integração de FunCaptcha (Arkose Labs CAPTCHA), para compreender totalmente como o sistema funciona no seu site. Isto permitirá não só entender a proteção atual, como também planear corretamente a sua manutenção.

O que é FunCaptcha

FunCaptcha é um sistema interativo de proteção contra bots desenvolvido pela Arkose Labs. Ele verifica se o usuário é humano por meio de desafios visuais e jogáveis, que são fáceis para pessoas, mas difíceis de automatizar. FunCaptcha é usado para proteger registros, logins, pagamentos online, campanhas de marketing e prevenir fraudes, spam e ações automatizadas em massa.

Exemplos de FunCaptcha

Rotação de objeto 3D

O usuário gira um modelo 3D ou figura para posicioná-lo corretamente.

Selecionar objetos conforme a regra

É necessário selecionar imagens ou elementos que correspondam a uma regra (por exemplo, 'selecione todas as maçãs').

Tarefas interativas (arrastar e soltar / seguir caminho)

O usuário realiza ações com elementos, como arrastá-los por um caminho específico.

Perguntas de áudio

O usuário ouve o áudio e escolhe a resposta correta (usado com menos frequência como alternativa aos desafios visuais).

Como resolver FunCaptcha via CapMonster Cloud

Ao testar formulários com FunCaptcha, muitas vezes é necessário verificar se o captcha está funcionando corretamente e integrado corretamente.

Você pode testar manualmente o captcha adicionado ao seu site.

Abra a página com o formulário e verifique se o captcha está visível.
Tente enviar o formulário sem resolver o captcha — o servidor deve retornar um erro.
Após a resolução bem-sucedida do captcha — o formulário deve ser enviado sem erros.

Para reconhecimento automático de captcha, você pode usar serviços especializados, como CapMonster Cloud — uma ferramenta que recebe os parâmetros do captcha, processa-os em seus servidores e retorna um token pronto. Esse token pode ser inserido no formulário para passar na verificação sem a intervenção do usuário.

Trabalhar com o CapMonster Cloud através da API normalmente envolve os passos seguintes:

Criação da tarefa

Nesta etapa, você envia sua chave API, tipo de captcha e seus parâmetros. O serviço retorna um taskId único, pelo qual você pode obter o resultado posteriormente.

Envio do pedido API

No pedido para resolver FunCaptcha, você deve fornecer os seguintes parâmetros:

type - FunCaptchaTask

websiteURL - endereço da página onde o captcha será resolvido;

websitePublicKey - chave FunCaptcha (valor public key ou pk);

data - parâmetro adicional. Obrigatório se o site usar data[blob];

funcaptchaApiJSSubdomain - subdomínio Arkose Labs (valor surl). Forneça caso seja diferente do padrão: client-api.arkoselabs.com

userAgent - User-Agent do navegador. Forneça somente o UA atual do Windows.

Para esta tarefa, é necessário o uso de seus proxies:

proxyType :

http - proxy HTTP/HTTPS padrão;
https - tente se 'http' não funcionar (necessário para alguns proxies customizados);
socks4 - proxy do tipo SOCKS4;
socks5 - proxy do tipo SOCKS5.

proxyAddress - Endereço IP do proxy IPv4/IPv6.

proxyPort - Porta do proxy.

proxyLogin - Login do servidor proxy.

proxyPassword - Senha do servidor proxy.

Saiba mais sobre os parâmetros e como recolhê-los automaticamente na documentação do CapMonster Cloud.

Endpoint para envio de tarefas:

https://api.capmonster.cloud/createTask

Exemplo de pedido:


{
  "clientKey": "API_KEY",
  "task": {
    "type": "FunCaptchaTask",
    "websiteURL": "https://www.example.com",
    "websitePublicKey": "EX72CCFB-26EX-40E5-91E6-85EX70BE98ED",
    "funcaptchaApiJSSubdomain": "example-api.arkoselabs.com",
    "data": "{\"blob\":\"nj9UbL+yio7goOlTQ/b64t.ayrrBnP6kPgzlKYCP/kv491lKS...Wot/7gjpyIxs7VYb0+QuRcfQ/t6bzh5pXDkOFSskA/V/ITSVZSAlglIplLcdreZ4PE8skfMU6k1Q\"}",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/144.0.0.0 Safari/537.36",
    "proxyType": "http",  // Adicione o proxy, se necessário
    "proxyAddress": "8.8.8.8",
    "proxyPort": 8080,
    "proxyLogin": "proxyLoginHere",
    "proxyPassword": "proxyPasswordHere"
  }
}

Resposta:

{
  "errorId":0,
  "taskId":407533072
}

Receção do resultado

Depois de criar a tarefa, acompanhe periodicamente o estado da solução.

Endereço para receber o resultado:

https://api.capmonster.cloud/getTaskResult

Exemplo de pedido:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

Resposta:


{
  "errorId": 0,
  "errorCode": null,
  "errorDescription": null,
  "solution": {
    "token": "337187b9f57678923.5060184402|r=us-west-2|lang=en|pk=EX72CCFB-26EX-40E5-91E6-85EX70BE98ED|at=40|ag=101|cdn_url=https%3A%2F%2Fclient-api.arkoselabs.com%2Fcdn%2Ffc|surl=https%3A%2F%2Fclient-api.arkoselabs.com|smurl=https%3A%2F%2Fclient-api.arkoselabs.com%2Fcdn%2Ffc%2Fassets%2Fstyle-manager",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36"
  },
  "status": "ready"
}

Aplicação do token na página

O token obtido pode ser inserido em um campo oculto do formulário ou chamado via função JS no site para confirmar a resolução. O servidor aceitará o formulário como preenchido corretamente. Para automação e testes, é conveniente usar Puppeteer, Selenium ou Playwright, que permitem emular ações do usuário, inserir tokens e enviar formulários.


// npm install playwright
const { chromium } = require("playwright");

const WEBSITE_URL = "https://example.com";
// token obtido do CapMonster Cloud
const FUN_CAPTCHA_TOKEN = "PUT_YOUR_FUN_CAPTCHA_TOKEN_HERE"; 

(async () => {
  const browser = await chromium.launch({ headless: false });
  const context = await browser.newContext();
  const page = await context.newPage();

  /**
   * Interceptação universal Arkose (v1 / v2)
   * Executado antes do carregamento da página
   */
  await page.addInitScript(() => {
    const callbacks = [];

    function captureCallback(cb, source) {
      if (typeof cb === "function") {
        callbacks.push(cb);
        console.log("[Arkose] callback captured from", source);
      }
    }

    function patchRender(obj, name) {
      if (!obj || typeof obj.render !== "function") return;

      const originalRender = obj.render;
      obj.render = function (container, options = {}) {
        captureCallback(options.callback, name + ".render");
        return originalRender.apply(this, arguments);
      };
    }

    // Interceptação via Object.defineProperty (frequentemente usada pelo Arkose)
    const originalDefineProperty = Object.defineProperty;
    Object.defineProperty = function (target, prop, descriptor) {
      if (
        (prop === "FunCaptcha" || prop === "ArkoseEnforcement") &&
        descriptor &&
        typeof descriptor.value === "object"
      ) {
        patchRender(descriptor.value, prop);
      }
      return originalDefineProperty.apply(this, arguments);
    };

    // Fallback: verificação periódica de objetos globais
    const interval = setInterval(() => {
      if (window.FunCaptcha) patchRender(window.FunCaptcha, "FunCaptcha");
      if (window.ArkoseEnforcement)
        patchRender(window.ArkoseEnforcement, "ArkoseEnforcement");

      if (callbacks.length > 0) clearInterval(interval);
    }, 200);

    // Ponto universal para passagem de token
    window.__arkoseSolve = function (token) {
      if (callbacks.length > 0) {
        callbacks.forEach((cb) => cb(token));
        console.log("[Arkose] token delivered via captured callbacks");
        return true;
      }

      // Opções alternativas
      if (typeof window.arkoseCallback === "function") {
        window.arkoseCallback(token);
        console.log("[Arkose] token delivered via arkoseCallback");
        return true;
      }

      // Fallback
      window._arkoseToken = token;
      console.log("[Arkose] token stored in window._arkoseToken");
      return false;
    };
  });

  /**
   * Abrir página
   */
  console.log("Opening page...");
  await page.goto(WEBSITE_URL, { waitUntil: "domcontentloaded" });

  /**
   * Aqui o site deve iniciar o FunCaptcha
   * (registro, login, botão, formulário etc.)
   */

  /**
   * Passando o token pronto
   */
  console.log("Injecting FunCaptcha token...");
  await page.evaluate((token) => {
    if (!window.__arkoseSolve) {
      console.log("[Arkose] solver not ready");
      return;
    }
    window.__arkoseSolve(token);
  }, FUN_CAPTCHA_TOKEN);

  /**
   * Dar tempo à página para processar o resultado
   */
  await page.waitForTimeout(5000);

  console.log("Done.");
  await browser.close();
})();

Também há a possibilidade de testar o reconhecimento de captchas com a extensão de navegador CapMonster Cloud, permitindo verificar rapidamente o funcionamento do captcha diretamente na página e acompanhar o processo em tempo real sem escrever código — disponível para instalação no Chrome e Firefox.

Como conectar FunCaptcha ao seu site

Para entender bem o funcionamento do captcha no seu site, compreender a lógica de verificação e reconectar ou reconfigurar, recomendamos estudar esta seção. Ela descreve o processo de conexão da proteção e ajuda a entender rapidamente todos os detalhes.

Registre-se na Arkose Labs e obtenha acesso ao Arkose Command Center (você pode enviar um chat com seus dados no formulário — por exemplo, aqui ou aqui).
Após o acesso, obtenha duas chaves (Public / Private) na seção Settings → Keys.
Se necessário, contate o Customer Success Manager (CSM) para:
- obter domínios API customizados;
- verificar esquemas de requisições e respostas API.

Recomendações Arkose

Use a Development Key para testes.
Use uma Production Key separada para cada workflow (login, registro, compra etc.).
Use chaves diferentes para sites diferentes.

Processo geral de funcionamento

O cliente coleta dados e, se necessário, exibe um desafio.
O cliente recebe um token de sessão único.
O servidor verifica o token via Arkose Verify API.

Passo 1. Integração do lado do cliente

No navegador (Arkose Bot Manager):

analisa o comportamento do usuário;
exibe, se necessário, Enforcement Challenge;
retorna um token de sessão.

Client API:

Para testes pode-se usar:
client-api.arkoselabs.com
Para produção, recomenda-se indicar um domínio customizado:
<company>-api.arkoselabs.com

Principais requisitos

O script do cliente Arkose deve ser carregado apenas uma vez por página
Definir obrigatoriamente callback global
Chamar obrigatoriamente setConfig()
Com base no resultado, decide-se permitir ou negar a ação.

Resultado do cliente — token a ser enviado ao servidor.

Exemplo de integração


<html>
<head>
  <!--
    Conecte a API Arkose Labs no <head> da página. No exemplo, certifique-se:
    - substituir <YOUR PUBLIC KEY> pela chave pública fornecida pela Arkose Labs;
    - substituir <YOUR CALLBACK> pelo nome da função global callback que você definirá.
   Exemplo:
    <script src="//client-api.arkoselabs.com/v2/<YOUR PUBLIC KEY>/api.js"
            data-callback="setupDetect"></script>
  -->
  <script src="//client-api.arkoselabs.com/v2/<YOUR PUBLIC KEY>/api.js" data-callback="<YOUR CALLBACK>"></script>
  <link rel="shortcut icon" href="#">
  <meta charset="UTF-8">
</head>

<body>
  <!--
    O elemento de gatilho pode estar em qualquer lugar da página e ser adicionado ao DOM a qualquer momento.
  -->
  <button id="arkose-trigger">
    elemento de gatilho
  </button>

  <!--
    Para configurar Arkose (modo detection ou enforcement), coloque o script antes da tag de fechamento </body> e defina a função callback como global.
  -->
  <script>
    /*
      Essa função global será chamada quando a API Arkose estiver pronta. O nome da função deve corresponder ao atributo data-callback do script que carrega a API Arkose.
    */
    function setupArkose(myArkose) {
      myArkose.setConfig({
        selector: '#arkose-trigger',
        onCompleted: function(response) {
          // Token único a ser enviado ao servidor
          console.log(response.token);
        }
      });
    }
  </script>
</body>
</html>

Passo 2. Verificação no servidor

No servidor, o token é verificado via Arkose Verify API.

Verify API endpoint

https://<company>-verify.arkoselabs.com/api/v4/verify/

Parâmetros obrigatórios do pedido

Exemplo de corpo POST


{
  "private_key": "_PRIVATE_KEY_HERE_",
  "session_token": "_SESSION_TOKEN_HERE_",
  "log_data": "_LOG_DATA_HERE_"
}

A resposta da API contém informações da sessão e o resultado da verificação.

Pontos-chave

Exemplo de verificação no servidor em PHP:


<?php
$private_key = 'YOUR_PRIVATE_KEY';
$verify_url = 'https://<company>-verify.arkoselabs.com/api/v4/verify/';

$input = json_decode(file_get_contents('php://input'), true);
$session_token = $input['session_token'] ?? null;
$log_data = $input['log_data'] ?? '';
$email_address = $input['email_address'] ?? '';

if (!$session_token) {
    http_response_code(400);
    echo json_encode(['error' => 'Token de sessão ausente']);
    exit;
}

$data = [
    'private_key' => $private_key,
    'session_token' => $session_token,
    'log_data' => $log_data,
    'email_address' => $email_address
];

$options = [
    'http' => [
        'header'  => "Content-Type: application/json\r\n",
        'method'  => 'POST',
        'content' => json_encode($data),
    ],
];

$context  = stream_context_create($options);
$result = file_get_contents($verify_url, false, $context);

if ($result === FALSE) {
    http_response_code(500);
    echo json_encode(['error' => 'Erro ao verificar captcha']);
    exit;
}

echo $result;
?>

Como funciona:

Mais informações sobre a integração do FunCaptcha podem ser encontradas na documentação oficial.

Possíveis erros e depuração

Parâmetros de pedido incorretos

Certifique-se de fornecer a Public Key correta para o cliente e a Private Key para o servidor, e enviar o session_token correto para a Verify API.

session_token vazio ou incorreto

O servidor receberá resultado vazio ou erro de verificação. Verifique se o cliente envia corretamente o token após resolver a captcha.

Tempo de resolução esgotado

Se o usuário não completar a verificação a tempo, o servidor Arkose pode retornar erro ou rejeitar a verificação. Aumente o tempo de espera permitido no servidor.

Verificações de robustez

Tente enviar uma solicitação sem session_token — a verificação do servidor deve retornar erro e rejeitar a solicitação.

Realize testes de carga (por exemplo, com k6 ou JMeter) a 100–200+ solicitações por segundo — a captcha deve inicializar corretamente e o backend deve processar as verificações de forma estável.

Verifique o funcionamento com token expirado (session_token) — o servidor deve retornar erro e rejeitar a verificação.

Verifique o reuso de um mesmo token — resposta esperada: verificação rejeitada.

Recomendações de segurança e otimização

<b>Armazene a Private Key apenas no servidor</b>, não inclua no código JS do cliente.

Armazene a Private Key apenas no servidor, não inclua no código JS do cliente.

Registre respostas completas da Arkose Verify API, incluindo status, código de erro e parâmetros enviados — isso ajuda na rápida resolução de problemas.

Registre respostas completas da Arkose Verify API, incluindo status, código de erro e parâmetros enviados — isso ajuda na rápida resolução de problemas.

Use <b>HTTPS</b> para todas as requisições (cliente → servidor → Verify API) para evitar manipulação de dados.

Use HTTPS para todas as requisições (cliente → servidor → Verify API) para evitar manipulação de dados.

Coloque links para a <b>Política de Privacidade</b> e os <b>Termos de Uso Arkose Labs</b> no site, conforme exigido pela licença.

Coloque links para a Política de Privacidade e os Termos de Uso Arkose Labs no site, conforme exigido pela licença.

Conclusão

Se herdou um site que já tem um captcha ou outro sistema de proteção instalado e não tem acesso ao código, não há problema! É bastante fácil identificar qual a tecnologia que está a ser utilizada. Para verificar se tudo está a funcionar corretamente, pode usar o serviço de reconhecimento CapMonster Cloud num ambiente de teste isolado, para garantir que o mecanismo de processamento de tokens e a lógica de verificação estão a funcionar corretamente.

No caso de FunCaptcha, basta identificar o sistema, analisar o seu comportamento e confirmar que a proteção está a funcionar corretamente. No artigo, mostramos como identificar FunCaptcha e onde encontrar instruções para a sua integração ou reconfiguração, para que possa manter a proteção com confiança e controlar o seu funcionamento.

Links úteis

Documentação FunCaptcha (Arkose Labs CAPTCHA) →

Formulário para solicitação de conexão FunCaptcha →

Documentação CapMonster Cloud (trabalhando com FunCaptcha) →

A extensão de navegador do CapMonster Cloud está disponível para Chrome e Firefox. Instruções completas encontram-se aqui.

FunCaptcha e CapMonster Cloud

Como resolver FunCaptcha via CapMonster Cloud

FunCaptcha
e CapMonster Cloud