---
title: "FCaptcha - 봇부터 비전 AI까지 전부 잡는 오픈소스 CAPTCHA"
published: 2026-03-01T23:16:25.000Z
canonical: https://jeff.news/article/216
---
# FCaptcha - 봇부터 비전 AI까지 전부 잡는 오픈소스 CAPTCHA

봇, 헤드리스 브라우저, 비전 AI 에이전트까지 탐지하는 셀프호스팅 CAPTCHA 시스템. 40개 이상의 행동 시그널, SHA-256 Proof of Work, 비전 AI의 스크린샷-API-클릭 패턴 탐지 등을 결합하며 Go/Python/Node.js 서버를 지원함.

- FCaptcha는 봇, 비전 AI 에이전트, 자동화 도구를 전부 잡겠다는 오픈소스 CAPTCHA 시스템임. reCAPTCHA v2 같은 체크박스 모드와 v3 같은 인비저블 모드 둘 다 지원함
- 핵심은 비전 AI 탐지임. 요즘 AI 에이전트가 스크린샷 찍고 → GPT-4V/Claude 같은 비전 API에 보내고 → 좌표 받아서 클릭하는 패턴을 쓰는데, 이 과정에서 생기는 API 왕복 지연(round-trip latency), 픽셀 단위 정확한 클릭, 너무 매끄러운 마우스 경로 등을 잡아냄
- 40개 이상의 행동 시그널을 분석함. 사람 손의 자연적인 미세 떨림(micro-tremor, 3~25Hz), 속도 분산, 궤적 분석 등. 사람은 클릭 전에 탐색하고 망설이는데 봇은 바로 직선으로 가니까 구분 가능하다는 거임
- Proof of Work도 걸어놓음. SHA-256 해시캐시 챌린지를 Web Worker에서 백그라운드로 풀게 하는데, 데이터센터 IP면 난이도를 올림. 크리덴셜 스터핑(credential stuffing) 공격 시 요청마다 100~500ms CPU 비용이 들게 만드는 구조
- 시그널 가중치는 행동 40%, 환경 35%, 시간 15%, 폼 인터랙션 10%. 점수 0.3 미만이면 통과, 0.3~0.6이면 챌린지, 0.6 초과면 차단
- 셀프호스팅 기반이고 프라이버시 퍼스트를 표방함. 영구 핑거프린팅 없고, 크로스사이트 트래킹 없고, PII 수집 안 함. 핑거프린트는 세션 스코프로만 사용
- 서버는 Go(가장 빠름), Python(FastAPI), Node.js(Express) 세 가지 중 골라 쓸 수 있고, Docker 한 줄이면 배포 가능. Redis 연결하면 분산 상태 관리도 됨
- MIT 라이선스이고, ML 기반 스코어링, React/Vue 통합 라이브러리, 어드민 대시보드 등은 아직 미구현이라 컨트리뷰션을 받고 있음

## 핵심 포인트

- 비전 AI 에이전트의 스크린샷→API→클릭 패턴을 API 왕복 지연과 마우스 궤적으로 탐지
- 40개 이상 행동 시그널 분석: 미세 떨림(3-25Hz), 속도 분산, 클릭 정밀도 등
- SHA-256 Proof of Work로 크리덴셜 스터핑 공격에 연산 비용 부과
- 셀프호스팅, 프라이버시 퍼스트, 영구 핑거프린팅 없음
- Go/Python/Node.js 서버 선택 가능, Docker 한 줄 배포, MIT 라이선스

## 인사이트

비전 AI 에이전트 시대에 CAPTCHA가 어떻게 진화해야 하는지를 보여주는 프로젝트. API 왕복 지연이나 너무 완벽한 클릭 좌표 같은 AI 특유의 약점을 공략하는 접근이 영리함.