你是机器人吗?谷歌真的很想知道。
这个问题的答案每天被网络用户通过captcha要求2亿次——“完全自动化的公共图灵测试来区分计算机和人类”,这是一个由谷歌拥有和运营的系统。
2009年,谷歌收购了卡耐基梅隆大学(Carnegie Mellon University)书呆子创办的一家名为reCAPTCHA的小公司,进入了验证码的游戏。谷歌对这项技术的意图是辉煌的。
谷歌希望通过验证码来测试用户是人类还是机器人,以保护网站免受垃圾邮件和欺诈的侵害——但有一个扭曲。谷歌打算用无意中扭曲的字母来取代原始的、故意扭曲的字母(人类可读,但机器人无法读)——来自谷歌图书图书馆项目的模糊扫描。例如,如果大多数用户将一个模糊的字母识别为“E”,那么将在电子书扫描中进行确认或更正。
这个项目的愿景是让全世界的网络用户免费工作,识别字母,同时阻止恶意机器人。谷歌后来使用reCAPTCHA来识别模糊的街景和地图拍摄对象,包括家庭地址、街道标志、企业名称和地址。最近,谷歌已经使用reCAPTCHA来支持其在地图、计算机视觉、语音识别和安全领域的更广泛的人工智能计划。
captcha有很多种——基于文本的、基于图像的、音频的、数学问题的、文字问题的、基于时间的、蜜罐的、图片识别的和不可见的。最常见的是单击复选框captcha和单击包含总线的图片captcha。两者都是谷歌的reCAPTCHA v2。
谷歌的最新版本reCAPTCHA v3使用行为分析来检测机器人,而无需明确挑战。用户永远不会被迫停下来解决谜题。这种方法是有道理的,不会转移用户的注意力来解决谷歌的识别问题。
那么,为什么我们仍然每天随处可见老式的reCAPTCHA v2挑战呢?
一个原因是,reCAPTCHA v2对网站所有者来说更容易实现和管理。他们可以验证用户,而不必解释复杂的风险评分。对于网站所有者来说,它也更加有形,因为他们可以看到它(而v3在后台无形地运行)。它也有更多的可定制选项和使用更少的cookie。
即使是使用v3的网站所有者也会将v2作为后备系统,以应对特别可疑的流量或v3引擎无法捕获足够的数据。
虽然使用reCAPTCHA v2有明显的好处,但本月的新事件从根本上改变了成本效益分析。
9月13日,苏黎世联邦理工学院的研究人员发表了一篇研究论文,证明它可以100%准确地解决谷歌的reCAPTCHA v2。
该研究表明,目前的人工智能技术可以有效地利用先进的基于图像的验证码,如reCAPTCHA v2。世界上任何地方的任何恶意行为者都可以轻松实现通过reCAPTCHA v2挑战的自动机器人系统。
人类可以“证明自己是人类”,准确率为71-85%。机器可以100%准确地“证明自己是人类”。
显然,reCAPTCHA v2已经过时了。
9月20日,反病毒公司McAfee宣布,他们发现了一种新的恶意软件攻击,该攻击使用假验证码挑战。
欺骗性的验证码页面在阴暗的网站上共享,声称提供破解版的流行游戏,如《黑色神话:悟空》、《天际线II》和《霍格沃茨遗产》。这个假的CAPTCHA测试欺骗用户执行键盘操作,秘密地粘贴并执行一个PowerShell脚本,该脚本下载并安装Lumma Stealer恶意软件。
同样的欺诈性CAPTCHA挑战也包含在伪装成GitHub通信的关于虚假“安全漏洞”的网络钓鱼邮件中。
虚假CAPTCHA骗局有效的一个原因是CAPTCHA无处不在。我们都像实验室里的啮齿动物一样被训练去使用它们,所以很容易说服公众使用它们。社会工程的伎俩只是劫持了一个现有的普遍习惯。
无处不在的captcha本身就是一个可利用的安全威胁。
在过去的几周里,很明显,reCAPTCHA v2既可以被人工智能破解,又存在巨大的安全风险。但是reCAPTCHA v2最大的问题已经存在多年了。
我无法忍受验证码v2的挑战。作为一名痴迷于研究的记者,我每天要打开成百上千个网页。我已经收藏了数百页的新闻搜索,我每天都打开它们,以了解我遥远的技术节奏。我快速浏览网页,寻找信息。另外,我使用了很多浏览器扩展。
我也是一个数字游民,在全球旅行,不断地在机场、咖啡馆、餐馆、airbnb和其他地方随机接入Wi-Fi网络。我经常需要假装(为了一些美国的服务)在美国,所以当然,我使用VPN。
我使用网络和谷歌搜索的每个方面都被认为是“可疑的”,因此CAPTCHA挑战不断阻碍我的工作动力。
我是个网速狂。我在笔记本电脑上花了几千美元,只是为了它的性能。我不想让任何事拖我的后腿。所以,当我在写作的时候,谷歌让我停下脚步,让我一天一百次地辨认公交车、楼梯和人行横道,这让我非常恼火。
谷歌每天都在偷走我的时间。
不仅仅是我。reCAPTCHA v2已部署在近300万个网站上,其中包括前10万个网站中的三分之一以上。
加州大学欧文分校(University of California, Irvine)的研究人员进行的一项研究显示,在验证码问世的13年里,人们总共花费了8.19亿小时来解决这些挑战,相当于至少61亿美元的工资没有得到支付。
研究人员指出,谷歌可能从reCAPTCHA会话产生的cookie中获利高达8880亿美元,并可以通过跟踪用户、收集行为数据和为广告创建用户档案来获利。(谷歌否认了这一指控,称reCAPTCHA v2用户数据仅用于改进服务。)
(研究人员还估计,reCAPTCHA流量消耗了大约134拍字节的带宽,到目前为止已经消耗了大约750万千瓦时的能源,产生了750万磅的二氧化碳。)
强制用户停下来进行测试的验证码已经够多了!这是为了谷歌的利益而对用户进行的大规模、无偿的剥削。这项技术很容易被人工智能打败。而CAPTCHA概念的存在现在正被恶意行为者所利用。
虽然reCAPTCHA v3可能要好得多,但现在很明显,人工智能可以打败reCAPTCHA v2,这是一个安全风险,对数百万人来说是一个巨大的麻烦。
根据谷歌墓地的数据,自2006年以来,谷歌已经淘汰了296款产品。
现在是谷歌再次杀戮的时候了。
