Sensor data do Akamai, gerado sob demanda.
Um bypass do Akamai Bot Manager sem navegador. A Takion gera sensor_data válido (v3 e v4) e devolve um cookie _abck aprovado, para que suas requisições passem pelo Bot Manager e cheguem aos dados.
Última atualização · Cobertura testada contra um alvo Akamai Bot Manager ao vivo.
Sendo bloqueado pelo Akamai?
O Akamai Bot Manager rejeita tráfego que não vem de navegador até que sua requisição carregue um cookie _abck válido, cunhado ao fazer POST de sensor_data (v3 ou v4) que o Bot Manager aceite. A Takion gera esse payload no servidor, o submete e devolve os cookies _abck e bm_sz em seu estado aprovado, sem navegador headless do seu lado. Anexe-os à sua requisição e o Bot Manager te trata como um navegador de verdade.
O acesso ao teste é controlado
Para evitar fraude e abuso, o acesso ao teste não é automático. Fale com a gente antes e conte qual é o seu caso de uso.
O que o Akamai joga contra você
O Akamai Bot Manager coleta sensor_data (um payload de telemetria grande e ofuscado, montado por seu JavaScript a partir de movimento de mouse, timing, dispositivo e sinais de ambiente) e faz POST dele em um endpoint de coleta. A resposta vira o cookie _abck de seu estado não confiável para um válido. Erre o payload, ou o envie na ordem errada, e o _abck continua inválido e toda requisição seguinte é limitada ou bloqueada.
A Takion gera o payload sensor_data tanto para v3 quanto para v4, o submete e devolve os cookies _abck e bm_sz em seu estado aprovado. Sem Chrome headless, sem a esteira de geração de sensor do seu lado. Um POST devolve um conjunto de cookies que o Bot Manager trata como um navegador de verdade.
- Desafios que a Takion cobre
- Sensor data v3 e v4
- Validação do cookie _abck (a transição -1 / válido)
- Cookies de sessão bm_sz / ak_bmsc / bm_sv
- Desafios SBSD e de pixel
O que uma chamada devolve
Uma chamada devolve os cookies _abck e bm_sz em seu estado aprovado, mais o payload sensor_data, pronto para reutilizar contra o seu alvo.
_abcko cookie do Bot Manager em seu estado válido, com o desafio aprovado
bm_szo cookie de sessão que acompanha o sensor
sensor_datao payload de telemetria v3/v4, pronto para o POST
Ler a documentação do Akamai Bot ManagerA mesma chave para todo muro. O mesmo formato de JSON para todo fornecedor.
How the Akamai bypass works, end to end
No browser, no sensor treadmill. Five moves from _abck -1 to data.
- 1
You hit the wall
Akamai serves the page with a raw _abck cookie ending in -1 and the sensor script. That -1 marker means untrusted. You grab that context.
- 2
You POST the context to Takion
Send the challenge context to akamai.takionapi.tech with your session proxy. One call, no SDK, no Chrome.
- 3
We generate the sensor_data
Takion builds the sensor_data payload for v3 or v4, keyed to your exact headers, and submits it to Akamai's collection endpoint.
- 4
Akamai flips _abck to valid
A correct payload clears the check. Takion hands back _abck and bm_sz in their passed state, no longer ending in -1.
- 5
You attach and you are in
Put the cookies on your own request, keep the same headers and proxy, and Bot Manager serves the data.
The Akamai cookie and sensor pieces, decoded
Bot Manager is a cookie set plus a telemetry payload. Here is what each piece does:
_abck- the primary Bot Manager cookie. Ends in -1 while untrusted, flips valid once a good sensor_data POST lands, and gets rescored on every request after
bm_sz- the session cookie set alongside _abck. Its hash seeds the character-substitution step of the v3 sensor encryption
ak_bmsc / bm_sv- extra session cookies Bot Manager pairs with the sensor. They travel with the session, and dropping them reads as a half-formed session
sensor_data- the large, obfuscated telemetry payload built from mouse, timing, device, and environment signals. This is what actually gets scored
sec-cpt- the proof-of-work interstitial some deployments add on top: a cryptographic challenge you have to solve before the page loads
Why request-based beats a headless browser here
The browser way to beat Akamai is a fleet of headless Chrome instances rendering the sensor script, faking mouse paths, and praying the fingerprint holds. It works until Akamai ships a new sensor build, then the whole farm goes dark until you re-patch it.
The sensor is not a captcha you can eyeball. v3 encrypts the payload with a two-step algorithm: it shuffles the elements with a PRNG seeded by a file hash pulled straight out of Akamai's live JavaScript, then substitutes every character with a second PRNG seeded by a hash off the bm_sz cookie. The first request uses a default cookie hash of 8888888, and every payload after keys off the bm_sz you got back. Get either seed wrong and _abck stays -1.
Takion reverses that logic and generates the payload directly. A solve is one HTTP round trip, not a page render. No Chrome farm, no Selenium to babysit, no retries when a container OOMs mid-sensor. You send the context, you get the cookies.
What flags an Akamai session
A valid _abck is necessary, not sufficient. Bot Manager keeps scoring after the flip, and these are what break a session:
- Header mismatch. The sensor_data is built against the exact headers of the request it was signed for. Replay it under a different or reordered header set and _abck rescores as untrusted.
- Stale cookie hash. The first sensor POST uses the default 8888888 hash; every payload after keys off the bm_sz you got back. Reuse an old bm_sz and the encryption seed is wrong.
- Wrong sensor version. A v3 payload sent to a v4 site (or the reverse) never validates. The build has to match what the target is running.
- Missing session cookies. Drop ak_bmsc or bm_sv and Bot Manager sees a half-formed session even with a valid _abck.
- Bad-reputation IPs. Flagged datacenter ranges get scored down before the sensor even matters. Clean residential or ISP proxies clear the reputation gate first.
The one rule that kills most 403s
The sensor_data is bound to the headers and cookies it was built against. Send the _abck, bm_sz, and header set Takion returns verbatim, and keep the session on one IP. Bot Manager scores consistency, so match the session it signed and _abck stays valid.
Perguntas frequentes sobre o bypass do Akamai
- Sim. A Takion gera sensor_data válido tanto para o formato de telemetria v3 quanto para o v4 atual e devolve o cookie _abck em seu estado aprovado, junto com o bm_sz. Quando o Akamai lança um novo build de sensor, nós o reimplementamos sob testes de regressão.
- Um _abck cru começa em um estado não confiável e só se torna válido depois que o Akamai aceita um POST de sensor_data correto, montado contra os headers exatos da requisição. A Takion produz esse payload para você e devolve o cookie já em seu estado válido.
- Sim. O mesmo endpoint cobre o desafio de pixel e o SBSD do Bot Manager além do fluxo padrão de sensor. Aponte sua requisição para o alvo e a Takion devolve o conjunto de tokens que o desafio espera.
Todos os outros muros
Lance seu bypass do Akamai hoje.
Teste gratuito e, depois, uma única chave para todos os muros. Primeira chamada em menos de uma hora.