有一类验证码测试要求用户点击网格图像以验证其是否为人类,是互联网上最令人讨厌的事情之一。不过,大多数用户都认为,为了防止机器人堵塞流量、实施欺诈或窃取数据,有必要使用验证码。然而,随着机器人变得越来越先进,验证码测试的有效性已经降低,定制的机器学习软件现在可以完全绕过Google的实施。
苏黎世联邦理工学院(ETH Zurich)的研究人员设计了一种机器学习程序,它能准确无误地解决Google reCAPTCHA v2 图像识别难题。虽然这些经常被人诟病的测试已经逐渐过时,但它们在互联网安全方面仍然发挥着重要作用。
长期以来,验证码防御系统一直在与旨在规避验证码的机器人进行军备竞赛。去年的一项研究发现,机器人可以比人类更快、更准确地通过几乎所有验证码变体,从而违背了旨在允许人类通过验证码同时阻止机器人的安全措施的初衷。
苏黎世研究采用的方法建立在先前机器学习模型的基础上,大大提高了成功率。开源模型和以前的研究发现,"只看一眼"(YOLO)模型的结果各不相同,但最新实验的准确率达到了 100%。起初,这些模型可以轻松识别交通信号灯或汽车等物体的图像,但对于检查其他人类活动迹象的安全措施却显得力不从心。
许多验证码测试还尝试检测类似人类的鼠标动作和读取 cookie,以区分人类和机器人。有些测试(如 Cloudflare)由一个简单的页面组成,可以检查这些迹象,同时只需极少的人工输入。Google的第一道防线也是类似的,但在某些情况下,它可能会依赖 reCAPTCHA v2 图像识别测试,因此有可能受到机器人的攻击。
要使 YOLO 模型达到完美的准确性,需要用附加软件修改 YOLOv8,以模拟鼠标移动和模拟浏览器历史记录。此外,研究人员还使用了一个可以动态更改 IP 地址的 VPN,这样挑战就不会将多次登录尝试识别为来自同一地址。
该实验表明,机器学习和生成式人工智能的出现可能会使验证码技术处于关键地位,因为现在广泛使用的软件组合就可以克服这些测试。此外,YOLOv8 可以在相对较小的硬件上本地运行,从而增加了利用大量廉价设备进行大规模自动攻击的可能性。科技巨头们仍在继续寻找替代方法,以保护互联网流量免受机器人攻击。