跳到主要内容
Didit 融资 750 万美元,打造身份与欺诈基础设施
Didit
多账户滥用

使用 Face Search 1:N 识别女巫攻击。一人一账户。

将每个新注册的自拍照与先前已批准的自拍照库进行比对。匹配意味着同一人已拥有账户。人脸搜索免费;每月免费 500 次验证。

投资方
Y CombinatorRobinhood Ventures
Firecrawl
Slash
Crnogorski Telekom
UCSF Neuroscape
Bit2Me
Shiply

全球2,000多家组织信赖。

一个深色抽象的女巫攻击检测堆栈, 四个浮动的半透明深色玻璃面板以3D透视方式呈现在纯黑色背景上,由一条发光的Didit蓝色垂直线贯穿,并由发光的扫描支架框住。每个面板上都有一个微小的浅白色抽象图案(单张脸、重复的脸、节点网络、关联账户集群)。

电子邮件和电话无法识别的

廉价邮箱。廉价手机。一张人脸,始终如一。

电子邮件别名和一次性SIM卡成本低廉。而人脸是女巫攻击者无法轮换的唯一标识符。 Face Search 1:N 对比您之前的自拍图库,让同一个人无处遁形。每次搜索免费,每月免费验证 500 次。

工作原理

从注册到验证用户,仅需四步。

  1. 步骤 01

    创建工作流

    选择您需要的检查项, 身份、活体、人脸匹配、制裁名单、地址、年龄、电话、电子邮件、自定义问题。在控制面板中将它们拖入工作流,或将相同的工作流发布到我们的 API。根据条件进行分支,运行 A/B 测试,无需代码。

  2. 步骤 02

    集成

    使用我们的 Web、iOS、Android、React Native 或 Flutter SDK 进行原生嵌入。重定向到托管页面。或者直接通过电子邮件、短信、WhatsApp 等任何方式向用户发送链接。选择适合您技术栈的方式。

  3. 步骤 03

    用户完成流程

    Didit 负责托管摄像头、灯光提示、移动设备切换和辅助功能。当用户在流程中时,我们实时评估 200 多个欺诈信号,并根据权威数据源验证每个字段。两秒内即可获得结果。

  4. 步骤 04

    接收结果

    实时签名 Webhook 可确保用户获批、拒绝或发送审核时,您的数据库立即同步。按需轮询 API。或者打开控制台检查每个会话、每个信号,并按您的方式管理案例。

为配方而生 · 基础设施定价

六项检查。一个签名判决。免费人脸搜索。

多账户防御是一个组合, 搜索、活体检测、跨账户关联、审计追踪。在工作流构建器中为每个工作流切换每个模块。
01 · 问题形态

同一用户重复出现。

女巫空投、推荐奖励周期、规避自我排除的 iGaming 多账户、市场虚假评论集群、DAO 投票操纵、新银行或券商注册时的欢迎奖金堆叠。相同的工作流构建器工作流可保护所有变体。
工作流编排器模块
02 · 人脸搜索门槛

将每张新面孔与图库进行比对。

Face Search 1:N 会索引注册时捕获的自拍,并将其与您账户下先前批准的自拍图库进行搜索。返回具有相似度得分的最高匹配项。每次搜索免费, 无按次调用费用。向量搜索在两秒内返回结果。
人脸搜索 1:N 模块
03 · 匹配集群

同一张面孔,已存档。

当搜索找到匹配项时,Webhook payload 会携带每个先前的 session_id、匹配的用户引用和相似度得分。根据工作流调整硬/软阈值, 默认 0.85 = 拒绝,0.75–0.85 = 审核中,< 0.75 = 批准。
人脸搜索工作原理
04 · 跨账户关联信号

相同设备。相同 IP。相同支付方式。

在同一工作流中组合设备和 IP 分析($0.03 / 次调用)。决策 payload 会显示设备指纹、Internet Protocol (IP) 地址、自治系统号 (ASN) 和国家/地区。结合您后端支付工具的哈希值,在人脸搜索确认之前对女巫攻击进行聚类。
设备与 IP 分析模块
05 · 可复用身份锚点

一个身份。多个产品。杜绝克隆。

可复用 KYC 允许合法用户以零成本使用先前验证的凭证重新进入您的其他产品, 这是有意的复用,而非滥用。女巫攻击者无法在新的账户中重放相同的凭证,因为人脸搜索仍然锚定到已发行的身份。
可复用 KYC 模块
06 · 签名 Webhook 决策

签名判决。完整匹配列表作为审计追踪。

一个签名的 Webhook 会带着判决, 批准、审核中、拒绝, 以及匹配的 session_id 和相似度得分的完整列表。在读取之前,使用基于哈希的消息认证码 (HMAC) SHA-256 验证 X-Signature-V2。匹配列表是任何争议的审计追踪。
Webhook 参考
集成

一个会话。一个签名判决。匹配列表随之而来。

开放注册。读取签名判决。人脸搜索匹配列表就在 payload 中, 阻止重复账户,记录集群。
POST /v3/session/人脸搜索
$ curl -X POST https://verification.didit.me/v3/session/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{
    "workflow_id": "wf_sybil_gate",
    "vendor_data": "signup-A4",
    "metadata": { "surface": "airdrop_claim" }
  }'
201已创建{ "session_url": "verify.didit.me/..." }
在 webhook 返回 status: Approved 之前,请勿创建账户。文档 →
POST /webhooks/didit匹配列表
// X-Signature-V2 verified upstream
if (payload.status === "Declined") {
  logCluster(payload.face_search.matches);
  blockSignup(payload.vendor_data);
} else if (payload.status === “审核中”) {
  queueForAnalyst(payload);
}
200OK状态:已批准 · 已拒绝 · 审核中 · 未完成
读取 payload 前,请验证 X-Signature-V2文档 →
代理就绪集成

一键部署人脸搜索 1:N 女巫攻击检测。

粘贴到 Claude Code、Cursor、Codex、Devin、Aider 或 Replit Agent 中。填写您的技术栈。代理将连接工作流、打开会话、读取匹配列表并阻止重复项。
didit-integration-prompt.md
You are integrating Didit Face Search 1:N to catch the same human opening many accounts on your platform — sybil airdrops, referral payout cycles, sign-up bonus stacking, iGaming multi-accounting that bypasses self-exclusion, marketplace fake-review clusters. One API call. One signed webhook. One decision.

WHY THIS SHAPE
  - Email, phone, device, IP can all be rotated cheaply. A human face cannot.
  - Every new sign-up captures one Passive Liveness selfie. Didit searches that selfie against the gallery of prior approved selfies under your account. A high-similarity match means the same person already has an account.
  - Face Search 1:N itself is FREE on every session — no per-search fee. Only the surrounding bundle (ID + Passive Liveness + AML) carries the usual cost. Use the full Know Your Customer (KYC) bundle on sign-up or the Passive Liveness + Face Search subset, depending on what the product needs.

PRE-REQUISITES
  - Production API key from https://business.didit.me (sandbox key in 60 seconds, no credit card).
  - A webhook endpoint with HMAC SHA-256 verification of the X-Signature-V2 header using your webhook secret.
  - A Workflow Builder workflow that contains the Face Search 1:N module. Compose it with Passive Liveness so an attacker cannot upload a still photo of the target.
  - Define what a "match" means for your product. Default: similarity ≥ 0.85 = Declined. 0.75–0.85 = In Review. < 0.75 = Approved.

STEP 1 — Open the sign-up session
  POST https://verification.didit.me/v3/session/
  Headers:
    x-api-key: <your api key>
    Content-Type: application/json
  Body:
    {
      "workflow_id": "<wf id with Face Search 1:N + Passive Liveness>",
      "vendor_data": "<your new-account id, max 256 chars>",
      "callback": "https://<your-app>/sybil-gate/callback",
      "metadata": {
        "surface": "airdrop_claim",
        "campaign": "<your campaign id>"
      }
    }

  Response: 201 Created with a hosted session URL. Redirect inline (web) or open in a Software Development Kit (SDK) webview (mobile). The new account stays UNCREATED on your side until the signed webhook lands.

STEP 2 — Read the signed webhook
  Didit POSTs the verdict. Verify X-Signature-V2 (HMAC SHA-256 of the raw body) BEFORE reading the JSON.

  Payload (excerpted, match case):
    {
      "session_id": "<uuid>",
      "vendor_data": "<your new-account id>",
      "status": "Declined",
      "face_search": {
        "matches": [
          { "session_id": "sess-9182", "similarity": 0.96, "vendor_data": "user-A1" },
          { "session_id": "sess-7733", "similarity": 0.94, "vendor_data": "user-A2" }
        ]
      }
    }

  Session status enum (exact case, Title Case With Spaces): Approved | Declined | In Review | Resubmitted | Expired | Not Finished | Kyc Expired | Abandoned.

STEP 3 — Branch the sign-up
  Approved   → no gallery match. Create the account.
  In Review  → soft match (similarity in your grey-zone band). Queue for human review.
  Declined   → hard match (similarity above your hard threshold). Block, log the matched session_id list as the audit trail.

STEP 4 — Cross-account link signals (optional but cheap)
  Compose Device & IP Analysis ($0.03 / call) in the same workflow. The decision payload surfaces device fingerprint, IP, Autonomous System Number (ASN), country, and city. Combine with your own payment-instrument hash and you can cluster sybils even before the face search confirms.

STEP 5 — Reusable KYC for legitimate cross-product re-entry
  If the user is supposed to reuse one identity across multiple products you own, Reusable KYC lets them replay a previously verified credential at no cost. That is different from sybil abuse — reuse is intentional and you control the issuance.

WEBHOOK EVENT NAMES
  - Sessions: standard session webhook. One endpoint, status field tells you the lifecycle.
  - Verify X-Signature-V2 (HMAC SHA-256) on every payload.

WHAT IT BLOCKS
  - Sybil airdrop / token claims (one person · many wallets)
  - Self-referral payout cycles (sign-up bonus farms)
  - iGaming multi-accounting that bypasses self-exclusion
  - Marketplace fake-review clusters from a single human
  - DAO and community-vote stuffing
  - Welcome-bonus stacking on neobank / brokerage sign-ups

CONSTRAINTS
  - Session statuses use Title Case With Spaces. Never UPPER_SNAKE_CASE for session verdicts — that's the Transactions API.
  - Face Search 1:N WITHOUT Passive Liveness lets an attacker upload a still photo of the target. Always compose them together.
  - Thresholds are tunable per workflow. Start at 0.85 hard / 0.75 soft and adjust based on your false-positive tolerance.
  - The gallery is scoped to your account — no cross-customer leakage by design.

Read the docs:
  - https://docs.didit.me/sessions-api/create-session
  - https://docs.didit.me/core-technology/face-search/overview
  - https://docs.didit.me/core-technology/liveness/overview
  - https://docs.didit.me/integration/webhooks

Start free at https://business.didit.me — sandbox key in 60 seconds, 500 verifications free every month, no credit card.
合规性设计

一键开启新国家/地区业务。 我们为您解决难题。

我们负责设立当地子公司、获取许可证、进行渗透测试、获得认证,并与所有新法规保持一致。要在新国家/地区发布验证服务,只需轻点开关。已覆盖220多个国家/地区,每个季度进行审计和渗透测试, 是唯一一个被欧盟成员国政府正式认定比线下验证更安全的身份提供商。
阅读安全与合规性档案
欧盟金融沙盒
Tesoro · SEPBLAC · BdE
Jugendschutz geprüft
FSM · JMStV §4(2) · 2026
ISO/IEC 27001
信息安全 · 2026
SOC 2 · Type I
AICPA · 2026
iBeta Level 1 PAD
NIST / NIAP · 2026
GDPR
EU 2016/679
DORA
EU 2022/2554
MiCA
EU 2023/1114
AMLD6 · eIDAS 2.0
原生符合欧盟标准

数据证明

数据证明
  • Free
    每次人脸搜索 1:N, 无按次收费。仅其周边捆绑服务收费。
  • <0s
    入门级 Android 设备上的端到端向量搜索判决。
  • iBeta L1
    每次自拍都进行被动活体检测, 无静态照片绕过。
  • 0
    每个账户每月免费验证。
三个层级,一份价目表

免费开始。按使用量付费。可扩展至企业级。

每月 500 次免费验证,永久有效。生产环境按量付费。企业版提供定制合约、数据驻留和 SLA (Service Level Agreements)。
免费

免费

每月 $0。无需信用卡。

  • 免费 KYC 套件(身份验证 + 被动活体检测 + 人脸匹配 + 设备与 IP 分析), 每月 500 次,永久有效
  • 黑名单用户
  • 重复检测
  • 每次会话 200+ 欺诈信号
  • Didit 网络中可重复使用的 KYC
  • 案件管理平台
  • 工作流构建器
  • 公开文档、沙盒、SDK、MCP(模型上下文协议)服务器
  • 社区支持
最受欢迎
按用量付费

按用量计费

按实际用量付费。25+模块。公开的模块定价,无每月最低费用。

  • 完整KYC $0.33(身份+生物识别+IP/设备)
  • 10,000+ AML数据集, 制裁、PEP、负面媒体
  • 1,000+ 政府数据源用于数据库验证
  • 交易监控 $0.02/笔交易
  • 实时KYB $2.00/家企业
  • 钱包筛选 $0.15/次检查
  • 白标验证流程, 您的品牌,我们的基础设施
企业版

企业版

定制MSA和SLA。适用于大批量和受监管项目。

  • 年度合同
  • 定制MSA、DPA和SLA
  • 专属Slack和WhatsApp频道
  • 按需人工审核员
  • 经销商和白标条款
  • 独家功能和合作伙伴集成
  • 指定CSM、安全审查、合规支持

免费开始 → 仅在检查运行时付费 → 解锁企业版以获取定制合约、SLA 或数据驻留。

FAQ

常见问题

Didit 是什么?

Didit 身份和欺诈基础设施, 一个我们自己在构建产品时就希望能有的平台:开放、灵活、对开发者友好,能真正融入您的技术栈,而不是一个需要您围绕其进行集成的黑盒。

一个 API 即可覆盖个人验证(KYC了解您的客户)、企业验证(KYB了解您的业务)、加密钱包筛选(KYT了解您的交易)以及实时交易监控。该技术栈旨在实现:

  • 快速, 每次会话的 p99 响应时间低于 2
  • 可靠, 已在 220 多个国家/地区 1,500 多家公司投入生产
  • 安全, 通过 SOC 2 Type 1、ISO 27001 认证,原生支持 GDPR,并经西班牙金融监管机构正式证明比线下验证更安全

底层支持:14,000 多种文档类型,支持 48 种以上语言1,000 多个数据源,每次会话提供 200 多个欺诈信号。Didit 基础设施通过每次会话动态学习,并日益完善。

什么是 sybil attack(女巫攻击)?

女巫攻击是指一个人创建多个账户,伪装成多个人。这个名字来源于 1973 年一个关于多重人格障碍患者的案例研究。在产品层面,它表现为一个人领取十次空投、叠加十个注册奖励,或者用十个“不同”的胜利来刷榜。

这种攻击之所以奏效,是因为所有其他身份标识, 电子邮件、电话、设备、Internet Protocol (IP) 地址, 都可以以几美分的成本轮换。唯一无法廉价轮换的身份标识是攻击者自己的面孔。

为什么仅靠电子邮件和电话防御不足够?

2026 年的“女巫攻击者”可以购买:

  • 10,000 个一次性电子邮件别名,花费不到 50 美元
  • 10,000 Subscriber Identity Module (SIM) 卡或虚拟号码,花费不到 200 美元
  • 一个住宅代理 Virtual Private Network (VPN) 订阅,每月不到 100 美元
  • 一个二手或虚拟化设备池,花费几百美元

如果一次女巫攻击获得的空投或奖励价值超过这些成本,那么整个操作就是划算的。人脸搜索 1:N 提取了攻击者无法廉价复制的面孔,并将其转化为唯一的密钥。

我的终端用户验证速度有多快?

整个流程通常在 30 秒内完成, 拿起身份证,拍摄证件,拍摄自拍,完成。这是市场上最快的速度。传统的 KYC 提供商完成相同流程通常需要超过 90

在后端,Didit p99 下两秒内返回结果,时间从用户完成自拍到您的 webhook 触发。移动端捕获针对慢速手机和慢速网络进行了优化:渐进式图像压缩、延迟加载 SDK,以及如果用户从网页端开始,可通过二维码一键从桌面端切换到手机端。

人脸搜索 1:N人脸匹配 1:1 有何不同?

问题不同,计算方式也不同。

  • 人脸匹配 1:1 询问的是“这个人是否与我存档的自拍是同一个人?” 用于账户盗用时的身份验证升级,比较目标是用户自己的注册照片。
  • 人脸搜索 1:N 询问的是“此人是否已存在于我的 N 个已注册用户库中?” 用于注册时,以发现所有先前账户中的重复项。

1:1 检查每次匹配费用为 0.05 美元。人脸搜索 1:N 每次搜索免费, 只有其周围的捆绑服务(身份验证被动活体检测)会产生费用。

如果用户失败、放弃或过期,会发生什么?

每个会话都会落入七种明确状态之一,因此您的代码始终知道该怎么做:

  • Approved, 所有检查通过。让用户继续。
  • Declined, 一项或多项检查失败。您可以允许用户重新提交特定的失败步骤(例如,重新拍摄自拍),而无需重新运行整个流程。
  • In Review, 标记为合规审查。在控制台中打开案例,查看所有信号,决定批准或拒绝。
  • In Progress, 用户正在进行流程中。
  • Not Started, 链接已发送,用户尚未打开。如果长时间未打开,发送提醒。
  • Abandoned, 用户打开了链接但未及时完成。重新激活或使其过期。
  • Expired, 会话链接已过期。创建新会话。

每次状态更改都会触发一个签名的 webhook,因此您的数据库始终保持同步。放弃和拒绝的会话是免费的。

我的客户数据存储在哪里,如何受到保护?

生产数据默认在欧盟通过 Amazon Web Services 进行处理和存储。企业合同可以根据监管机构要求,申请在其他区域存储。

全面加密。 所有数据库、对象存储和备份中的静态数据均采用 AES-256 加密。所有 API 调用、webhook 和业务控制台会话中的传输数据均采用 Transport Layer Security 1.3 加密。生物识别数据使用单独的客户主密钥进行加密。

保留期限由您控制。 默认保留期限为无限期(无限制),除非您配置更短的期限, 每个应用程序可在30 天到 10 之间选择, 您可以随时从仪表板或 API 删除任何单个会话。

认证:SOC 2 Type 1(Type 2 审计进行中)、ISO/IEC 27001:2022iBeta Level 1 PAD,以及来自西班牙 Tesoro / SEPBLAC / CNMV 的公开证明,表明 Didit 的远程身份验证比亲自验证更安全。完整报告请访问 /security-compliance

Didit 是否符合我的行业规定?

Didit 默认符合对身份基础设施至关重要的监管机构要求:

  • GDPR + UK GDPR, 控制器/处理者分离,发布完整的《数据处理协议》,指定主要监管机构(西班牙 AEPD)。
  • AMLD6 + EU AML Single Rulebook, 实时筛选 1,300 多个制裁名单、政治公众人物和负面媒体名单。
  • eIDAS 2.0, 符合欧盟数字身份钱包标准;支持可复用身份。
  • MiCA (Markets in Crypto-Assets), 适用于加密货币入口、交易所和托管机构。
  • DORA, 数字运营弹性法案,欧盟金融服务运营弹性。
  • BIPA, CUBI, Washington HB 1493, CCPA / CPRA, 美国生物识别隐私(伊利诺伊州、德克萨斯州、华盛顿州)和加州消费者隐私。
  • UK Online Safety Act, 年龄门控和儿童安全义务。
  • FATF Travel Rule, 加密货币转账的发起方和受益方数据,与 IVMS-101 互操作。

详细备忘录、所有证书、所有监管机构函件:/security-compliance

我能多快集成并开始验证用户?
  • business.didit.me 60 获得沙盒账户, 无需信用卡。
  • 通过 Claude Code、Cursor 或任何编码代理,利用我们的模型上下文协议 (MCP) 服务器,5 分钟内完成工作验证。
  • 一个周末即可完成生产就绪的集成,包括签名 webhook 验证、重试和用户被拒绝时的补救流程。

三种集成路径, 选择最适合您技术栈的方式:

  • 使用我们的 Web、iOS、Android、React Native Flutter SDK 原生嵌入
  • 将用户重定向到托管验证页面, 无需 SDK。
  • 通过电子邮件、短信、WhatsApp 或任何渠道发送链接, 无需前端工作。

相同的仪表板、相同的计费、相同的按成功付费价格适用于所有三种方式。分步指南请访问 docs.didit.me/integration/integration-prompt

如何调整匹配阈值?

人脸搜索 1:N 为每次匹配返回一个介于 0 1 之间的相似度分数。您可以为每个工作流设置两个阈值:

  • 硬阈值(默认值 0.85):分数达到或高于此值 Declined。自动阻止注册。
  • 软阈值(默认值 0.75):分数介于软阈值和硬阈值之间 In Review。排队等待分析师处理。
  • 低于软阈值:Approved。未发现重复项。

从默认值开始。如果您发现太多误报(真正的双胞胎,非常相似的家庭成员),请提高硬阈值。如果重复项漏过,请降低它。在工作流构建器中调整, 无需重新部署。

这个方案的成本是多少?

每个新注册用户有两项费用:

  • 被动活体检测:每次检查 0.10 美元
  • 人脸搜索 1:N:每次搜索 0.00 美元(免费,无按次调用费用)

每个受保护的注册用户大约 0.10 美元。如果您需要设备 + IP 关联信号进行聚类,可添加 设备与 IP 分析,费用为 0.03 美元。每个账户每月前 500 次验证免费

无最低消费,无年度承诺,无按席位定价。

哪些行业使用此方案?

任何多账户操作具有经济价值的场景:

  • Web3 / 加密空投, 防止一个人多次领取分配
  • 市场 + 创作者经济推荐计划, 杜绝自我推荐的支付循环
  • iGaming, 强制执行用户自己请求的自我排除
  • 金融科技 / 新银行欢迎奖金, 防止同一个人叠加十个注册奖励
  • DAO / 社区投票, 确保一人一票的原则
  • 市场评论系统, 杜绝一个人刷出大量五星好评

一次集成,覆盖所有场景。

身份与欺诈基础设施。

一个 API 即可实现 KYC、KYB、交易监控和钱包筛选。5 分钟即可集成。

让 AI 总结此页面