產業AI

你的 GA4 流量有一半是假的:揭開「新加坡暴衝」背後的算力與爬蟲大戰

你的 GA4 流量有一半是假的:揭開「新加坡暴衝」背後的算力與爬蟲大戰 GA4 再生能源, AI, 產業, 能源

打開 GA4 儀表板,看到即時流量陡增,許多行銷人或許正準備開香檳慶祝。但仔細一看,我這個全中文、主打台灣在地市場的《科技人》小網站,過去 30 分鐘內 36 個活躍使用者中,竟然有 22 個來自「新加坡」。你真的以為是跨國讀者突然對你的內容產生興趣嗎?

醒醒吧,這不是 SEO 發威,也不是演算法眷顧。從 2025 年下半年開始,全球網站的 GA4 都遭遇了一場無聲的流量污染,大量來自中國(如蘭州)與新加坡的異常流量湧入。這些流量多半被歸類為 Direct(none),停留時間接近零,且沒有任何實質轉換。從技術維度來看,這是現代 AI 訓練爬蟲與自動化腳本對傳統網頁分析工具發動的一次「降維打擊」。

你的 GA4 流量有一半是假的:揭開「新加坡暴衝」背後的算力與爬蟲大戰 GA4 再生能源, AI, 產業, 能源

為什麼是新加坡?雲端節點與數據重力的必然

要理解這個現象,我們必須拋棄「讀者在哪裡」的行銷思維,改用第一性原理來拆解全球互聯網的底層物理架構。新加坡並不是讀者多,而是「算力與節點」多。

作為亞太地區的光纖樞紐,新加坡擁有極強的「數據重力」(Data Gravity)。AWS、GCP、Azure 以及各種大型 VPN 服務商,都將亞太區的核心資料中心設在這裡。當全球的 AI 開發商(例如 OpenAI、Anthropic 或是各類開源模型團隊)需要無差別抓取亞洲語系的網頁資料來訓練大模型時,他們的自動化爬蟲程式最經濟、低延遲的部署地點,就是新加坡的機房。這些腳本以極高的併發數向外輻射,你的網站不過是它們巨大收割機下的一株小草。

你的 GA4 流量有一半是假的:揭開「新加坡暴衝」背後的算力與爬蟲大戰 GA4 再生能源, AI, 產業, 能源

換句話說,你看到的不是真人讀者。那是一台台冷冰冰的虛擬機,正透過代理伺服器(Proxy)無情地消耗你的伺服器頻寬。

GA4 為什麼防不住?「幽靈流量」的非對稱作戰

Google 官方公關稿總是宣稱 GA4 內建了強大的機器學習機制,能自動過濾已知機器人,但在實務部署時,這套防禦機制卻顯得千瘡百孔。現代爬蟲早已進化,它們不僅能使用 Headless Browser(無頭瀏覽器)完美執行 JavaScript,甚至懂得隨機切換 User-Agent 與 IP。更致命的是所謂的「幽靈流量」(Ghost Traffic),這些惡意腳本根本不載入你的網頁,而是直接向 Google Analytics 的 Measurement Protocol 端點發送偽造的 HTTP POST 請求。

深入探討其運作機制,你會發現這些惡意腳本甚至會重複利用或隨機生成 GA4 的 Client-ID。由於 GA4 高度依賴瀏覽器端存放的 First-party Cookie 來追蹤使用者軌跡,當爬蟲程式在虛擬機中每次發起請求都清除狀態,或是暴力亂數生成新的 Session ID 時,GA4 就會誤以為這是源源不絕的「新使用者」。這完美解釋了為什麼你的即時流量圖會出現不自然的柱狀突起,因為這些請求的生命週期往往不到一秒鐘就被捨棄。

你的 GA4 流量有一半是假的:揭開「新加坡暴衝」背後的算力與爬蟲大戰 GA4 再生能源, AI, 產業, 能源

你的伺服器日誌(Server Log)裡根本找不到這些訪問紀錄,但 GA4 的報表卻被塞滿了垃圾數據。這種繞過前端防護直接污染後端資料庫的手法,就是標準的非對稱作戰。

這種污染對商業決策的破壞是毀滅性的。當你以為網站流量翻倍,你的轉換率(Conversion Rate)就會在報表上被腰斬,因為分母變大了,但分子(真實訂單)沒有增加。這會讓許多行銷團隊誤判情勢,以為是落地頁(Landing Page)設計出了問題,進而盲目修改網站,甚至錯誤地調整廣告預算。這就是為什麼我們不能盲信報表,必須具備從數據雜訊中辨識真相的能力。

傳統爬蟲與現代 AI 爬蟲的維度差異

Bot Mitigation Insight

新型網路爬蟲行為特徵與識別對比

分析傳統搜尋引擎與現代 AI 訓練、分散式惡意爬蟲的關鍵差異與隱蔽特徵。

威脅防禦
高隱蔽風險
比較維度
傳統搜尋引擎爬蟲 (如 Googlebot)
現代 AI 訓練 / 惡意爬蟲 (新加坡節點)
行為特徵
標準規範
遵守 robots.txt 協議,請求頻率表現穩定且可預測。
高壓併發
完全無視規則,採用高頻率併發請求,並透過分散式 IP 意圖規避單點封鎖。
GA4 識別率
完全過濾
100% 自動過濾,特徵明確,完全不計入常規數據報表。
高度偽裝
極難識別,多數偽裝成常規 Direct (直接流量),嚴重污染業務分析指標。
攻擊路徑
常規渲染
依循正常模式請求網頁原始 HTML 結構。
模擬交互
使用 Headless Browser(無頭瀏覽器)執行複雜 JS,或直接發送高度偽造的底層封包。

實戰防禦:在數據邊界建立過濾規則

面對這種污染,不要去 GA4 的後台尋找什麼「關閉機器人」的神奇開關,那是不存在的。Google 目前還無法從底層徹底阻絕這些新型態的攻擊。最有效的做法,是將防線往前推移,在邊緣運算層(Edge)直接阻斷不合理的請求。以目前市佔率最高的 Cloudflare 為例,我們可以直接撰寫 WAF(Web Application Firewall)自訂規則,利用 ASN 或國家代碼配合機器人分數(Bot Score)來進行精準攔截。

與其事後在 GA4 裡用複雜的區隔(Segment)去排除新加坡流量,不如一開始就不讓他們碰到你的網站。

以下是一個非常實用的 Cloudflare WAF 攔截規則範例。透過這段邏輯,你可以將來自高風險地區且被判定為自動化程式的請求直接封鎖。不要列出所有繁複的參數,只抓取核心的地理位置與驗證標籤即可。

在 Cloudflare 後台建立 Custom Rule 時,切換到 Expression Editor 貼上即可:

Bash

# Cloudflare WAF 邊緣防禦指令
# 攔截來自新加坡 (SG) 或中國 (CN) 且並非官方認證機器人的流量
(ip.geoip.country in {"SG" "CN"} and not cf.bot_management.verified_bot)

如果你無法操作伺服器或 DNS 層級,退而求其次的做法是在 GA4 的「探索(Exploration)」報表中建立自訂區隔。強行排除 Country = SingaporeSession Duration < 10 的流量,藉此還原真實的營運數據。

你的 GA4 流量有一半是假的:揭開「新加坡暴衝」背後的算力與爬蟲大戰 GA4 再生能源, AI, 產業, 能源

在 AI 狂飆的時代,保持數據清醒

隨著 AI 模型對訓練數據的渴望呈現指數級增長,未來的網頁流量只會越來越「髒」。大廠之間的算力軍備競賽,無可避免地會波及所有內容創作者與網站主。當流量變得廉價且容易偽造,作為網站的決策者,你必須對異常飆升的圖表保持冷靜的懷疑。依賴被污染的虛榮指標(Vanity Metrics)來制定商業策略,無異於蒙著眼睛開車。

不妨現在就打開你的 GA4 即時儀表板試試看吧!如果滿畫面都是新加坡的異常連線,或許是時候捲起袖子,清理一下你的邊緣防禦策略了。

Written by
黃郁棋

《科技人》站長,在科技業打滾十年的老屁股,每天都覺得自己要被新技術取代了,完了完了。

打賞科技人|祝您有個美好的一天