互聯(lián)網(wǎng)公司擁有同一個(gè)長(zhǎng)期性的棘手課題：如何屏蔽自動(dòng)軟件，如何防止機(jī)器的惡意注冊(cè)，如何禁止一系列“非人類用戶”的惡意操作等等。Google近些年對(duì)于算法研發(fā)的熱情不減，本月3號(hào)，Google推出全新的驗(yàn)證碼系統(tǒng)No CAPTCHA reCAPTCHA ，用來替代原先的CAPTCHA系統(tǒng)。

 

　　Google以為費(fèi)力打造的No Captcha會(huì)大獲好評(píng)，但是網(wǎng)絡(luò)安全公司Shield Square在昨天發(fā)布博客表示，No Captcha存在安全漏洞，會(huì)被機(jī)器用戶巧妙的避開。而且早在本月初，No Captcha剛剛推出之時(shí)，網(wǎng)絡(luò)安全專家Egor Homakov也已提出了相同的觀點(diǎn)。

　　“人類用戶”更加容易的證明自己是個(gè)人

 

　　No CAPTCHA無效時(shí)會(huì)轉(zhuǎn)到圖片識(shí)別

 

　　名字又長(zhǎng)又拗口，還是先來科普一下。被替代的CAPTCHA，是一種驗(yàn)證碼識(shí)別系統(tǒng)，基于全自動(dòng)區(qū)分計(jì)算機(jī)和人類的圖靈測(cè)試原理（程序必須能生成并評(píng)價(jià)人類能很容易通過但計(jì)算機(jī)卻通不過的測(cè)試），要求用戶在驗(yàn)證碼框中識(shí)別出一些變型扭曲的文本數(shù)字，在驗(yàn)證框中正確的輸入。經(jīng)常出現(xiàn)的形式是一些人類還能“依稀閱讀”的污損扭曲的字符，甚至包括識(shí)別3D圖片以及區(qū)分貓和狗。這些文字難辨識(shí)，圖片難懂，用戶體驗(yàn)比較不佳，人類用戶“費(fèi)力識(shí)別”，而機(jī)器卻很少能通過。

 

　　Google當(dāng)然沒有停止研發(fā)的腳步，在一年半的時(shí)間內(nèi)著力解決這個(gè)問題。當(dāng)研究團(tuán)隊(duì)發(fā)現(xiàn)能夠教會(huì)計(jì)算機(jī)讀懂CAPTCHA系統(tǒng)的晦澀文字，并且準(zhǔn)確率竟然高達(dá)99.8%，Google也慌了，這也就意味著CAPTCHA的漏洞會(huì)被黑客輕易破解。于是Google順勢(shì)推出升級(jí)版的No CAPTCHA reCAPTCHA，并且官方宣稱其安全性有很大的提升。

 

　　這便是驗(yàn)證“我不是機(jī)器人”的復(fù)選框

 

　　No CAPTCHA可以讓“人類用戶”更加容易的證明自己是個(gè)人，而讓“機(jī)器用戶”經(jīng)過更多的審查判斷其身份。該系統(tǒng)只提供了一個(gè)復(fù)選框，用戶勾選“我不是機(jī)器人”之后，系統(tǒng)算法便利用“風(fēng)險(xiǎn)分析引擎”，根據(jù)用戶在該網(wǎng)站的一系列行為，判斷用戶是否為人類，并過濾掉任何容易識(shí)別為人類的用戶。

 

　　絕大多數(shù)正常的人類用戶都只是看到一個(gè)復(fù)選標(biāo)記，單擊這個(gè)復(fù)選標(biāo)記，便已經(jīng)通過了測(cè)試，順暢訪問網(wǎng)站；而機(jī)器用戶會(huì)被算法判定為“不是”，被要求點(diǎn)擊正確的圖片選項(xiàng)判斷用戶是否為人類。

 

　　此外，Google也明白用戶對(duì)驗(yàn)證碼的苦惱，新的No Captcha系統(tǒng)的算法僅僅只需要用戶驗(yàn)證一次，在下一次訪問網(wǎng)站時(shí)，便無需任何驗(yàn)證，因?yàn)橄到y(tǒng)會(huì)自動(dòng)檢驗(yàn)用戶cookies。除非你是定時(shí)清理cookies狂魔，那么你每一次訪問都必須通過這種無聊的“我不是機(jī)器人”驗(yàn)證。

 

　　機(jī)器用戶：防我？沒門

 

　　Shield Square公司表示，Google對(duì)于cookies的高度依賴，存在不小的安全隱患。

 

　　因?yàn)閷?duì)于機(jī)器用戶來說，一旦第一次通過驗(yàn)證，它們會(huì)通過OCR識(shí)別，特意留下相關(guān)的訪問cookies的證據(jù)，把自己偽裝的更像是人類用戶。這些“故意制造”的cookies便會(huì)成為今機(jī)器用戶今后正常訪問的通行證，所以說機(jī)器人也不需要任何的驗(yàn)證碼了。

　　當(dāng)No Captcha系統(tǒng)無法識(shí)別到用戶的歷史瀏覽行為，例如用戶一直使用的是“無痕瀏覽模式”，Google就會(huì)搬出傳統(tǒng)的Captcha驗(yàn)證碼檢測(cè)，但是這些已經(jīng)被機(jī)器用戶攻破了。

 

　　除此之外，Homakov和Shield Square都發(fā)現(xiàn)No Captcha系統(tǒng)在防止“點(diǎn)擊劫持”等黑客手法時(shí)，存在一定的安全隱患。這一手法通過網(wǎng)站跳轉(zhuǎn)，讓用戶幫助黑客識(shí)別出驗(yàn)證碼。

 

　　不過針對(duì)這一點(diǎn)，Google表示新的No Captcha驗(yàn)證系統(tǒng)擁有機(jī)器學(xué)習(xí)的能力。同Google搜索引擎一樣，No Captcha會(huì)在一次次辨別人類用戶和機(jī)器的過程中，變得更加智能聰明。也就是說，的確目前存在安全隱患，但是Google的海量用戶基數(shù)保證了這項(xiàng)問題會(huì)在極短的時(shí)間內(nèi)解決。

 

　　對(duì)此，Homakov和Shield Square表示，Google這樣的做法只能稱是與互聯(lián)網(wǎng)黑客的“貓鼠競(jìng)賽游戲”。如果機(jī)器變聰明的速度更快，Google就很難區(qū)分人和機(jī)器，究竟誰能在這一場(chǎng)驗(yàn)證碼的戰(zhàn)爭(zhēng)中獲勝也不得而知。

　　No Captcha：真的做不到啊

 

　　有專家表示，新推出的No Captcha算法的確比曾經(jīng)的Captcha系統(tǒng)要先進(jìn)，但是客觀些說，這基本沒有什么價(jià)值。Google希望No Captcha能夠成為自己防衛(wèi)“黑客用戶”的銀色子彈，但是No Captcha真的做不到啊。

 

　　某位評(píng)論家表示，犧牲掉用戶流暢的用戶體驗(yàn)，來為獲得更好的網(wǎng)絡(luò)防衛(wèi)，Google耗費(fèi)大力氣開發(fā)的No Captcha不值得那么多的努力。目前看來，No Captcha系統(tǒng)足夠成熟可靠仍是要等待不短的時(shí)間。