當(dāng)前播報(bào):反人類(lèi)的驗(yàn)證碼，早應(yīng)該被干掉

「我不是機(jī)器人」，本應(yīng)是不言自明的事情。

但在計(jì)算機(jī)承認(rèn)你是人類(lèi)之前，你可能會(huì)被要求點(diǎn)擊包含紅綠燈或人行道的圖像。

當(dāng)你靠近屏幕瞇起眼睛，思考一個(gè)微乎其微的邊角算不算時(shí)，你就會(huì)知道，沒(méi)那么簡(jiǎn)單。

(資料圖片僅供參考)

這種難以自證的感覺(jué)，2015 年在 12306 搶票的春運(yùn)人應(yīng)該就有領(lǐng)略。

多年過(guò)去了，不斷翻新花樣的驗(yàn)證碼，依然迫使你思考古老的哲學(xué)問(wèn)題——我是誰(shuí)？

微笑的狗，云做的馬，自證是人更難了

「請(qǐng)點(diǎn)擊每張包含微笑的狗的圖片?！?/p>

某創(chuàng)意營(yíng)銷(xiāo)機(jī)構(gòu)創(chuàng)始人 Jared Bauman 最近被驗(yàn)證碼難住了。他疑惑的是，狗真的會(huì)笑嗎？大多數(shù)狗看起來(lái)既不高興也不難過(guò)，有些在做鬼臉，有些只是張著嘴。

8 月 2 日，他又被要求找出 「用云做成的馬」，9 張圖里有 2 張用云做成的大象，他第一次點(diǎn)擊時(shí)不幸敗北。

Jared Bauman 意識(shí)到了一個(gè)嚴(yán)重的問(wèn)題——找出紅綠燈、公交車(chē)或煙囪已經(jīng)過(guò)時(shí)了，驗(yàn)證碼系統(tǒng)開(kāi)始設(shè)置下一個(gè)級(jí)別的挑戰(zhàn)了。

這些驗(yàn)證碼出自 hCaptcha，開(kāi)發(fā)者稱(chēng)，它比 Google 的驗(yàn)證碼系統(tǒng) reCAPTCHA 更注重隱私，只收集最低限度的必要個(gè)人數(shù)據(jù)。

而驗(yàn)證碼為什么會(huì)越來(lái)越難，還是要從驗(yàn)證碼是什么，以及 Google 的驗(yàn)證碼系統(tǒng) reCAPTCHA 是什么說(shuō)起。

驗(yàn)證碼（CAPTCHA），全稱(chēng)是「全自動(dòng)區(qū)分計(jì)算機(jī)和人類(lèi)的公開(kāi)圖靈測(cè)試」。

由于它是用計(jì)算機(jī)來(lái)考人類(lèi)，而不是標(biāo)準(zhǔn)圖靈測(cè)試中那樣由人類(lèi)來(lái)考計(jì)算機(jī)，所以驗(yàn)證碼也被視為一種反向圖靈測(cè)試。

驗(yàn)證碼的設(shè)計(jì)初衷是，保護(hù)網(wǎng)站免受有害機(jī)器人的侵害，包括傳播惡意軟件、散布虛假賬戶、執(zhí)行 DDoS 攻擊、發(fā)送大量垃圾郵件、竊取用戶信息等。這些機(jī)器人本質(zhì)上是一行行自動(dòng)運(yùn)行的計(jì)算機(jī)代碼。

驗(yàn)證碼創(chuàng)建于 2000 年代初，最早由卡內(nèi)基梅隆大學(xué)的幾位計(jì)算機(jī)科學(xué)家開(kāi)發(fā)。

最初的驗(yàn)證碼采用了扭曲的文本形式，避免被光學(xué)字符識(shí)別等計(jì)算機(jī)程序自動(dòng)識(shí)別，超過(guò)了當(dāng)時(shí)計(jì)算機(jī)可以破譯的程度，但對(duì)大多數(shù)人類(lèi)可讀。

很快，研究人員意識(shí)到這項(xiàng)技術(shù)具有區(qū)分人類(lèi)和機(jī)器人之外的潛力，他們開(kāi)發(fā)了 reCAPTCHA 技術(shù)，讓用戶在填寫(xiě)驗(yàn)證碼的過(guò)程中將紙質(zhì)檔案數(shù)字化，因?yàn)槿祟?lèi)可以比計(jì)算機(jī)更好地破譯老舊文獻(xiàn)中扭曲的字母。

這一階段，用戶必須輸入兩個(gè)詞，一個(gè)是答案明確的真正測(cè)試，另一個(gè)是尚未轉(zhuǎn)錄的新詞。通過(guò)向世界各地用戶多次顯示相同單詞，reCAPTCHA 便可以自動(dòng)驗(yàn)證單詞是否被正確轉(zhuǎn)錄。

這就像互聯(lián)網(wǎng)的一次眾籌，求得你的時(shí)間而非金錢(qián)?；ヂ?lián)網(wǎng)的神奇之處便在此，在技術(shù)支持下，再創(chuàng)造一些樂(lè)趣，你可以利用所有人的一點(diǎn)精力，自然而然聚沙成塔。

2009 年，Google 收購(gòu)了 reCAPTCHA，并將其用于數(shù)字化 Google 圖書(shū)和紐約時(shí)報(bào)檔案。 2011 年，Recaptcha 已經(jīng)完成了整個(gè) Google 圖書(shū)檔案、1300 萬(wàn)篇紐約時(shí)報(bào)文章的數(shù)字化。2012 年，它每天翻譯大約 1.5 億個(gè)單詞。

驗(yàn)證碼為什么越來(lái)越難？

人類(lèi)沉浸在知識(shí)的海洋，機(jī)器人也沒(méi)有停下學(xué)習(xí)的腳步。

2014 年，Google 發(fā)布了一個(gè)專(zhuān)門(mén)解讀扭曲文本驗(yàn)證碼的算法，人工智能技術(shù)已經(jīng)能以 99.8% 的準(zhǔn)確率解決最困難的扭曲文本，而人類(lèi)的成功率是 33%。

扭曲的字母失去了它最初的用處，該讓下一代驗(yàn)證碼登場(chǎng)了。

2012 年，Google 推出了 reCAPTCHA 的圖像識(shí)別版本，其中包括來(lái)自 Google 街景的照片，從而讓用戶轉(zhuǎn)錄門(mén)牌號(hào)碼和其他標(biāo)志。

類(lèi)似當(dāng)初將舊書(shū)數(shù)字化，在這個(gè)過(guò)程中，Google 一舉多得，既防御了惡意腳本，自己的人工智能也在進(jìn)步。

2014 年，Google 稱(chēng)：「街景和 reCAPTCHA 團(tuán)隊(duì)密切合作，兩者都將繼續(xù)改進(jìn)，使地圖更加精確和有用，reCAPTCHA 更安全、更有效。」讓地圖更加精確和有用，意味著 Google 需要訓(xùn)練人工智能更好地識(shí)別圖像中的物體。

那怎么訓(xùn)練人工智能？reCAPTCHA。數(shù)以億計(jì)的用戶為了證明自己是人類(lèi)，為科技公司建立起了機(jī)器學(xué)習(xí)數(shù)據(jù)集。

進(jìn)步的不止 Google。2017 年，開(kāi)發(fā)人員 Francis Kim 進(jìn)行了一項(xiàng)實(shí)驗(yàn)，用 40 行 Javascript 構(gòu)建了一個(gè)系統(tǒng)，使用 Google 競(jìng)爭(zhēng)對(duì)手 Clarifai 的圖像識(shí)別 API，嘗試通過(guò) reCAPTCHA 的圖像驗(yàn)證碼。結(jié)果，這個(gè)腳本成功找出了圖中的商店。

理論上，這也可以使用 Google 自己的圖像識(shí)別技術(shù)來(lái)實(shí)現(xiàn)。

Google 的驗(yàn)證碼系統(tǒng)其實(shí)有兩個(gè)目的：在用文本、圖像等訓(xùn)練人工智能的同時(shí)，抑制惡性腳本的行為。但事實(shí)是，Google 的人工智能是越來(lái)越厲害了，但惡性腳本也在斗智斗勇中進(jìn)步，只有用戶證明自己是人越來(lái)越難了。

2014 年，Google 的 「No CAPTCHA reCAPTCHA」登臺(tái)，即「沒(méi)有驗(yàn)證碼的驗(yàn)證碼」，界面簡(jiǎn)潔友好，只需要你堅(jiān)信「我不是機(jī)器人」。

Google 稱(chēng)，它推出了一個(gè)新的 API，可觀察用戶行為，收集指針移動(dòng)速率、當(dāng)前 IP、是否使用插件、頁(yè)面使用時(shí)間、進(jìn)行過(guò)多少次點(diǎn)擊等數(shù)據(jù)，從根本上簡(jiǎn)化了 reCAPTCHA 體驗(yàn)。大多數(shù)情況下，只需單擊一下，就能確認(rèn)用戶是不是機(jī)器人。

但是，驗(yàn)證碼沒(méi)有消失。甚至可以說(shuō)，最討人厭的驗(yàn)證碼出現(xiàn)了。

在風(fēng)險(xiǎn)分析引擎無(wú)法預(yù)測(cè)用戶是不是人的情況下，Google 會(huì)讓驗(yàn)證碼再次出山，并且給出了更多新玩法，比如基于經(jīng)典計(jì)算機(jī)視覺(jué)圖像標(biāo)記問(wèn)題，讓你選出所有包括貓或火雞的照片。

此外，還有類(lèi)似游戲的驗(yàn)證碼，要求用戶將物體旋轉(zhuǎn)到特定角度，或?qū)⑵磮D移動(dòng)到適當(dāng)?shù)奈恢谩?/p>

人類(lèi)能夠理解謎題的邏輯，但缺乏明確指令的機(jī)器人會(huì)被難住。但以后會(huì)不會(huì)掌握就難說(shuō)了。

機(jī)器學(xué)習(xí)得越多，人類(lèi)擁有的優(yōu)勢(shì)就越少，這是一個(gè)道高一尺魔高一百丈的過(guò)程。

驗(yàn)證碼可以被替代嗎？

伊利諾伊大學(xué)芝加哥分校計(jì)算機(jī)科學(xué)教授 Jason Polakis 指出，機(jī)器學(xué)習(xí)現(xiàn)在在基本的文本、圖像和語(yǔ)音識(shí)別任務(wù)上與人類(lèi)差不多，「我們需要一些替代方案」。

更重要的是，在驗(yàn)證碼系統(tǒng)前，用戶體驗(yàn)和可訪問(wèn)性大大降低。驗(yàn)證碼對(duì)很多人來(lái)說(shuō)不容易，特別是老人等有學(xué)習(xí)障礙的群體。

為老年客戶提供技術(shù)建議的 Eileen Ridge 表示，她經(jīng)常接到客戶的電話，老人很難辨別油漆磨損的人行道和正常的人行橫道，并且十分擔(dān)心自己因?yàn)殄e(cuò)誤答案被鎖定帳戶，就像許多國(guó)內(nèi)老年人對(duì)互聯(lián)網(wǎng)的態(tài)度一樣。

微笑的狗、云做的馬，對(duì)他們來(lái)說(shuō)可能更難。

而代替驗(yàn)證碼的方案，也在不斷開(kāi)發(fā)中。

一些網(wǎng)站使用一種人類(lèi)用戶不可見(jiàn)的驗(yàn)證碼形式，將字段插入到僅對(duì)機(jī)器人可見(jiàn)的屏幕上，誘騙它們填寫(xiě)表格并證明它們不是人類(lèi)。

近兩年，Google 推出了新驗(yàn)證碼系統(tǒng) reCaptcha v3，它采用逆向思維，自動(dòng)記錄使用者在網(wǎng)站中瀏覽的行為特征，根據(jù)這些記錄來(lái)給用戶打分，若用戶分?jǐn)?shù)過(guò)低則會(huì)被判定為機(jī)器人。否則不會(huì)打擾到用戶，上網(wǎng)體驗(yàn)很絲滑。但它可能涉及隱私問(wèn)題。

FastCompany 報(bào)道，用戶是否使用 Google Cookies 是決定評(píng)分的一個(gè)重要因素。如果用戶選擇讓 Google 記住登錄信息的話，會(huì)得到更高的分?jǐn)?shù)，沒(méi)有登錄 Google 帳號(hào)，或者使用 VPN 或者洋蔥瀏覽器通常會(huì)被提示高風(fēng)險(xiǎn)。

機(jī)器人檢測(cè)公司 Shape Security 的首席技術(shù)官 Ghosemajumder 則認(rèn)為，游戲驗(yàn)證碼、視頻驗(yàn)證碼等驗(yàn)證碼測(cè)試，最終都會(huì)被破解。與測(cè)試相比，他更喜歡「持續(xù)身份驗(yàn)證」，本質(zhì)是觀察用戶的行為，從中尋找自動(dòng)化的跡象：

「一個(gè)真正的人類(lèi)不能很好地控制自己的運(yùn)動(dòng)功能，因此即使他們非常努力地嘗試，他們也不能在多次交互中多次以相同的方式移動(dòng)鼠標(biāo)?！?/p>

今年 6 月，蘋(píng)果在全球開(kāi)發(fā)者大會(huì)宣布將用私人訪問(wèn)令牌（Private Access Tokens）取代驗(yàn)證碼。

密碼或生物識(shí)別解鎖手機(jī)、打開(kāi)瀏覽器、精準(zhǔn)輸入網(wǎng)站……一系列操作足以「驗(yàn)明正身」。當(dāng)蘋(píng)果系統(tǒng)驗(yàn)證該設(shè)備和 Apple ID 帳戶是正常狀態(tài)，再向需要驗(yàn)證碼的 app 或網(wǎng)站提供「私人訪問(wèn)令牌」即可。

提供網(wǎng)站安全管理的 Cloudflare、Ffast 等公司已支持私人訪問(wèn)令牌，用 iOS 16 設(shè)備登錄這兩家公司的 app 或網(wǎng)站，不再需要驗(yàn)證碼。目前，這項(xiàng)技術(shù)還在推廣之中，需要更多的支持者加入，才能更好用。

蘋(píng)果工程師 Tommy Pauly 指出：「這將為很多人節(jié)省大量時(shí)間，并且用戶喜歡被信任的感覺(jué)。」

但只要有虛假賬戶、垃圾郵件、騷擾信息等，我們?nèi)匀恍枰獙⑷祟?lèi)用戶與機(jī)器人分開(kāi)的技術(shù)，某種形式的驗(yàn)證碼技術(shù)將始終存在，與人工智能并行發(fā)展。

未來(lái)，驗(yàn)證碼系統(tǒng)識(shí)別人類(lèi)，很可能不是通過(guò)我們超越機(jī)器人的能力，而是通過(guò)我們犯錯(cuò)誤的可能。也就是說(shuō)設(shè)置更多挑戰(zhàn)性的測(cè)試，我們往往會(huì)失敗，而機(jī)器人給出正確答案。或許，在我們抓耳撓腮地尋找圖中所有的信號(hào)燈時(shí)，就是在進(jìn)行以人類(lèi)一敗涂地為結(jié)局的斗爭(zhēng)。

參考資料：

1.https://auth0.com/blog/captcha-can-ruin-your-ux-here-s-how-to-use-it-right/

2.https://www.wired.com/story/smiling-dogs-horses-made-of-clouds-captcha-has-gone-too-far/

3.https://www.techradar.com/news/captcha-if-you-can-how-youve-been-training-ai-for-years-without-realising-it

4.https://www.theverge.com/2019/2/1/18205610/google-captcha-ai-robot-human-difficult-artificial-intelligence

關(guān)鍵詞： 反人類(lèi)的驗(yàn)證碼 早應(yīng)該被干掉 recaptcha