机器人现可完全破解验证码：未来安全技术何去何从？

引言

随着计算机视觉技术的飞速发展，机器学习模型现已能够100%可靠地解决Google的视觉reCAPTCHAv2验证码。这标志着一个时代的结束——自2000年代初以来，CAPTCHA（"全自动区分计算机与人类的图灵测试"的缩写）一直是区分网站访问者与机器人的最流行工具。对于企业来说，这意味着是时候永久性地放弃reCAPTCHA技术了。对用户而言，这也是个好消息，因为他们往往发现解决验证码是一件令人烦恼的事情。然而，数百万网站仍在使用验证码，因此了解为何reCAPTCHA不再有效至关重要。

1. 图像识别机器人已赶上人类

1.1 机器学习模型的突破

独立研究人员经常测试包括验证码在内的在线安全工具，以评估它们对潜在攻击者的抵抗能力。直到最近，图像识别AI模型对视觉reCAPTCHA（要求用户查看3x3图像网格并识别诸如路灯或公交车等常见物体的验证码）的成功率约为70%。2024年9月，瑞士苏黎世联邦理工学院(ETH Zurich)的研究人员宣布，他们已经构建了一个高效的AI模型，能够100%击败视觉reCAPTCHA。

这些研究人员在14,000张交通图像上训练了一个名为YOLO（"You Only Look Once"）的实时对象识别机器学习模型，然后用它来解决单个reCAPTCHA挑战。这个开源模型能够以69%到100%的准确率正确识别不同类型的图像，对于无法解决的挑战，它会要求展示另一个验证码。最终，该模型能够在平均约19次尝试中击败每个reCAPTCHA。

值得注意的是，模型或人类击败reCAPTCHA挑战所需的尝试次数之间没有统计学上的显著差异。此外，YOLO模型可以在有限的处理能力下本地运行。这意味着它可以被欺诈者大规模部署用于进行机器人攻击。

1.2 为什么不制作更难的验证码？

自2014年以来，神经网络已被用于可靠地绕过基于文本的验证码（自2011年起用于音频验证码）。现在模型也能持续击败视觉挑战，开发者需要寻找新的方法来检测机器人。但是，有充分理由不继续发展CAPTCHA范式：

• 对人类来说太难：reCAPTCHA已经以对人类难以解决而闻名。让它们变得更难可能会赶走更多合法的网站访问者。根据挑战类型的不同，它们还会给视障或听障人士带来无障碍问题。
• 消耗太多时间：人类用户解决基于图像的reCAPTCHA大约需要10秒钟，这会降低用户体验。自验证码发明以来，人类已花费8.19亿小时解决reCAPTCHA（这几乎相当于1,200个人的寿命！）
• 损害销售：实施更难的挑战可能会对转化率产生比当前reCAPTCHA更糟糕的影响。研究估计，验证码会使转化率降低3%至40%。
• 这是一场无法获胜的军备竞赛：由于机器人学习击败它们的速度，没有单一的验证码能长期有效。

总结起来，这些缺点明显多于优点。企业需要探索reCAPTCHA的替代方案来保护其网站。

2. 有效的机器人检测策略

2.1 多层次机器人检测方法

检测机器人的有效方法是将设备智能作为多层次欺诈检测方法的一部分，该方法结合技术数据和行为特征来形成对用户行为和意图的完整图像，同时不影响客户体验。一些公司可以共同使用的最有效技术包括：

• 蜜罐技术：在表单提交中设置对使用图形界面浏览的人类用户不可见但对机器人可见的隐藏字段，从而诱捕机器人。如果人类填写表单，则该字段为空白，但当机器人扫描网站的HTML代码时，它们会填写该字段。这会标记它们的提交以进行阻止。
• 行为分析：滚动时间、鼠标移动和导航模式等指标有时可以区分人类用户和机器人。机器人倾向于以闪电般的速度在操作之间移动，且没有犹豫。
• 机器学习：在已知的人类和机器人交互的大型数据集上训练模型，以发现模式。这些发现的模式随后可以帮助实时识别机器人的行为。
• 设备智能：全面的设备智能平台分析数百种浏览器和设备特性，可用于标记可能表明机器人冒充真实用户的可疑活动和设备。
• IP黑名单：检查访问者IP地址是否与定期更新的已知机器人IP、数据中心范围和恶意代理数据库匹配。

所有这些机器人检测策略都在后台无形中工作，收集数据并发现模式，而不会打扰合法的人类用户。它们共同提供了一种深度防御方法，能够随着欺诈者不断发展的技术而调整。

3. 结语

reCAPTCHA不再提供它承诺的机器人保护。设备智能是阻止恶意机器人尝试入侵客户账户、降低网站速度或抓取网站内容的更好替代方案。

随着计算机视觉和机器学习技术的不断发展，传统验证码技术已经无法有效区分人类与机器。企业需要采用更先进、更智能的解决方案，如多层次欺诈检测系统、行为分析和设备智能等技术，以保护网站安全并提升用户体验。最终，无需打扰用户的"无形"安全措施将成为未来网络安全的主要发展方向。