Sensor data Akamai, générée à la demande.
Un bypass Akamai Bot Manager sans navigateur. Takion génère une sensor_data valide (v3 et v4) et renvoie un cookie _abck qui passe, pour que vos requêtes passent Bot Manager et atteignent les données.
Dernière mise à jour · Couverture testée contre une cible Akamai Bot Manager réelle.
Bloqué par Akamai ?
Akamai Bot Manager rejette le trafic non issu d'un navigateur tant que votre requête ne porte pas un cookie _abck valide, forgé en envoyant en POST une sensor_data (v3 ou v4) que Bot Manager accepte. Takion génère ce payload côté serveur, le soumet, et renvoie les cookies _abck et bm_sz dans leur état validé, sans navigateur headless de votre côté. Attachez-les à votre requête et Bot Manager vous prend pour un vrai navigateur.
L'accès à l'essai est restreint
Pour prévenir la fraude et les abus, l'accès à l'essai n'est pas automatique. Contactez-nous d'abord et expliquez-nous votre cas d'usage.
Ce qu'Akamai vous oppose
Akamai Bot Manager collecte une sensor_data (un gros payload de télémétrie obfusqué construit par son JavaScript à partir des mouvements de souris, du timing et des signaux d'appareil et d'environnement) et l'envoie en POST vers un endpoint de collecte. La réponse fait basculer le cookie _abck de son état non fiable à un état valide. Si vous vous trompez de payload, ou l'envoyez dans le mauvais ordre, _abck reste invalide et chaque requête suivante est ralentie ou bloquée.
Takion génère le payload sensor_data pour la v3 comme la v4, le soumet, et renvoie les cookies _abck et bm_sz dans leur état validé. Pas de Chrome headless, pas de course sans fin à la génération de capteur de votre côté. Un seul POST renvoie un jeu de cookies que Bot Manager prend pour un vrai navigateur.
- Les défis que Takion couvre
- Sensor data v3 et v4
- Validation du cookie _abck (la transition -1 / valide)
- Cookies de session bm_sz / ak_bmsc / bm_sv
- Défis SBSD et pixel
Ce qu'un seul appel renvoie
Un seul appel renvoie les cookies _abck et bm_sz dans leur état validé, plus le payload sensor_data, prêts à être rejoués contre votre cible.
_abckle cookie Bot Manager dans son état valide, défi passé
bm_szle cookie de session associé au capteur
sensor_datale payload de télémétrie v3/v4, prêt à être posté
Lire la documentation Akamai Bot ManagerUne seule clé, tous les murs. Un même format JSON, tous les vendors.
How the Akamai bypass works, end to end
No browser, no sensor treadmill. Five moves from _abck -1 to data.
- 1
You hit the wall
Akamai serves the page with a raw _abck cookie ending in -1 and the sensor script. That -1 marker means untrusted. You grab that context.
- 2
You POST the context to Takion
Send the challenge context to akamai.takionapi.tech with your session proxy. One call, no SDK, no Chrome.
- 3
We generate the sensor_data
Takion builds the sensor_data payload for v3 or v4, keyed to your exact headers, and submits it to Akamai's collection endpoint.
- 4
Akamai flips _abck to valid
A correct payload clears the check. Takion hands back _abck and bm_sz in their passed state, no longer ending in -1.
- 5
You attach and you are in
Put the cookies on your own request, keep the same headers and proxy, and Bot Manager serves the data.
The Akamai cookie and sensor pieces, decoded
Bot Manager is a cookie set plus a telemetry payload. Here is what each piece does:
_abck- the primary Bot Manager cookie. Ends in -1 while untrusted, flips valid once a good sensor_data POST lands, and gets rescored on every request after
bm_sz- the session cookie set alongside _abck. Its hash seeds the character-substitution step of the v3 sensor encryption
ak_bmsc / bm_sv- extra session cookies Bot Manager pairs with the sensor. They travel with the session, and dropping them reads as a half-formed session
sensor_data- the large, obfuscated telemetry payload built from mouse, timing, device, and environment signals. This is what actually gets scored
sec-cpt- the proof-of-work interstitial some deployments add on top: a cryptographic challenge you have to solve before the page loads
Why request-based beats a headless browser here
The browser way to beat Akamai is a fleet of headless Chrome instances rendering the sensor script, faking mouse paths, and praying the fingerprint holds. It works until Akamai ships a new sensor build, then the whole farm goes dark until you re-patch it.
The sensor is not a captcha you can eyeball. v3 encrypts the payload with a two-step algorithm: it shuffles the elements with a PRNG seeded by a file hash pulled straight out of Akamai's live JavaScript, then substitutes every character with a second PRNG seeded by a hash off the bm_sz cookie. The first request uses a default cookie hash of 8888888, and every payload after keys off the bm_sz you got back. Get either seed wrong and _abck stays -1.
Takion reverses that logic and generates the payload directly. A solve is one HTTP round trip, not a page render. No Chrome farm, no Selenium to babysit, no retries when a container OOMs mid-sensor. You send the context, you get the cookies.
What flags an Akamai session
A valid _abck is necessary, not sufficient. Bot Manager keeps scoring after the flip, and these are what break a session:
- Header mismatch. The sensor_data is built against the exact headers of the request it was signed for. Replay it under a different or reordered header set and _abck rescores as untrusted.
- Stale cookie hash. The first sensor POST uses the default 8888888 hash; every payload after keys off the bm_sz you got back. Reuse an old bm_sz and the encryption seed is wrong.
- Wrong sensor version. A v3 payload sent to a v4 site (or the reverse) never validates. The build has to match what the target is running.
- Missing session cookies. Drop ak_bmsc or bm_sv and Bot Manager sees a half-formed session even with a valid _abck.
- Bad-reputation IPs. Flagged datacenter ranges get scored down before the sensor even matters. Clean residential or ISP proxies clear the reputation gate first.
The one rule that kills most 403s
The sensor_data is bound to the headers and cookies it was built against. Send the _abck, bm_sz, and header set Takion returns verbatim, and keep the session on one IP. Bot Manager scores consistency, so match the session it signed and _abck stays valid.
FAQ bypass Akamai
- Oui. Takion génère une sensor_data valide pour le format de télémétrie v3 comme pour l'actuel v4 et renvoie le cookie _abck dans son état validé, avec bm_sz. Quand Akamai publie une nouvelle version de capteur, nous la réimplémentons sous tests de régression.
- Un _abck brut démarre dans un état non fiable et ne devient valide qu'après qu'Akamai a accepté un POST sensor_data correct, construit contre les en-têtes exacts de la requête. Takion produit ce payload pour vous et renvoie le cookie déjà dans son état valide.
- Oui. Le même endpoint couvre le défi pixel de Bot Manager et SBSD en plus du flux de capteur standard. Pointez votre requête vers la cible et Takion renvoie le jeu de tokens que le défi attend.
Tous les autres murs
Livrez votre bypass Akamai dès aujourd'hui.
Essai gratuit, puis une seule clé pour tous les murs. Premier appel en moins d'une heure.