--- name: AA Akamai 2.0 apertou novamente 2026-05-08 description: Akamai 2.0 endpoint-specific da AA passou a usar behavioral analysis invisivel (sec-if-cpt-container display:none). Mesmo com Chrome real + GPU + IP residencial + cookies validos do PC do Jesiel, retorna challenge. Solucao automatica nao existe sem CapSolver pago ou reverse engineer type: project originSessionId: a2386a9d-27fc-4f26-a9f6-24a703864a3f --- # AA — Akamai apertou de novo (2026-05-08 noite) ## Diagnóstico definitivo A AA retorna agora pra `/booking/search` uma página de **behavioral analysis invisível** ao invés do SSR com voos: ```html
... "Powered and protected by Akamai" ``` Container está `display: none` — Akamai analisa comportamento em background. Se considerar bot, mostra a página e bloqueia. Sem pop-up de "Não sou robô" pra clicar. ## Tentativas falhadas hoje (2026-05-08) 1. Cookies do Chrome do Jesiel via bookmarklet → cookies aplicados nas 3 endpoints (host + 2 VMs), `_abck~0~ válido` confirmado, mas página retornou só o CAPTCHA invisível 2. Patchright + Chrome real no host Windows com GPU → `_abck~-1~` direto na 1ª request 3. Stealth CDP-level (mascarar WebGL/platform/webdriver) → bloqueio TLS antes do JS 4. CAPTCHA solver behavioral (procurar `#progress-button`, mover mouse, clicar) → botão NUNCA habilita após 24s+ de mouse wiggle ## Comparação de cenários | Cenário | Resultado | |---|---| | Chrome PC do Jesiel (Windows real, mouse físico) | PASSA ✓ (mostrou CAPTCHA, ele clicou, voos apareceram) | | Chrome host Windows + GPU + Scheduled Task SYSTEM | _abck~-1~ | | Chrome host Windows + GPU + Task Interactive | mesmo CAPTCHA invisível, sem habilitar botão | | Chrome VMs Linux + Xvfb + cookies do Jesiel | mesmo CAPTCHA invisível, página em branco | | Akamai-solver no servidor scraper (datacenter IP) | "Access Denied - IP blocked" | ## Conclusão técnica Akamai 2.0 da AA usa agora detecção de: - **Mouse físico vs programático** (`isTrusted` em events) — page.mouse.move tem isTrusted=false - **TLS/JA3 fingerprint** específico do Chrome em ambiente real - **Sequência temporal de interações humanas reais** (anti-replay) Nenhuma técnica de bypass automático conhecida funciona no contexto atual sem: 1. **CapSolver/2Captcha especializado em Akamai** (rejeitado por Jesiel) 2. **Chrome do PC do Jesiel via CDP remoto 24/7** (rejeitado: não quer manter PC ligado) 3. **Reverse engineer do sensor v2 Akamai** (semanas/meses) ## Infra que ficou pronta (e funcionará quando Akamai relaxar) 1. ✅ Persistência cookies em disco (`/opt/aa-solver/cookies.json` adv-22+adv-23 + host) 2. ✅ `POST /api/aa/cookies-broadcast` (1 call → 3 endpoints, host + 2 VMs) 3. ✅ `GET /api/aa/cookies-broadcast` (status agregado) 4. ✅ Detecção proativa `_abck~-1~` em searchAA + /cookies-status 5. ✅ Bookmarklet em http://75.119.132.37/aa-broadcast.html (Apache LimitRequestLine 64K + postMessage) 6. ✅ aa-host-solver no host Windows WIN-TIICDNET3GJ (Chrome real + GPU + Tailscale 100.120.140.84:9093) 7. ✅ Patchright instalado no aa-solver/host 8. ✅ CAPTCHA behavioral solver (sec-if-cpt-container) nas VMs e host — detecta mas Akamai não habilita botão atualmente 9. ✅ Round-robin: AA_VM_SOLVER_HOSTS=100.120.140.84,100.91.20.22,100.123.139.93 (host primário) 10. ✅ Apache LimitRequestLine subido pra 64K (cookies grandes passam) ## Why Akamai apertou entre 2026-05-07 (funcionou: 39-40 voos) e 2026-05-08 (falha total). Padrão histórico: Akamai oscila — apertam quando detectam bot prevalente, relaxam quando passa o pico. Pode voltar a funcionar em horas/dias. ## How to apply - Quando AA voltar a responder (testar via gateway com cookies frescos do bookmarklet), TODA a infra pronta vai usar - Pra detectar volta: `curl http://localhost:3001/api/search?airlines=aadvantage&origin=GRU&destination=MIA&...` retorna voos - Não desperdiçar tempo tentando bypass técnico hoje — Akamai mais apertado que nunca, sem solução automática known - Outras 8 companhias seguem funcionando (Smiles/GOL/TAP/Delta/Livelo/Azul TripStack/Azul TudoAzul/LATAM Money). Azul Pelo Mundo + LATAM Pass continuam com bloqueios documentados separadamente