奇异的、消失的验证码的奇特案例

与此同时，随着在线安全挑战难度的增加，用户在需要回答越来越复杂和晦涩难懂的问题来证明自己的人性时，他们的沮丧感也随之增加。用户被要求从hCaptcha（谷歌服务的一个注重隐私的替代品）的图像标记问题中选择所有“会笑的狗”。这多么令人困惑啊！

“完全隐形”

谷歌在2018年推出的reCaptcha v3是在减少人们在网上看到挑战的频率方面的一个重大转变。

谷歌云产品管理总监Tim Knudsen在一封给WIRED的电子邮件中说：“我们的技术不是中断用户，而是分析互动过程中的信号和行为，为网站所有者可以采取的措施生成一个风险分数。”这种转变准确地嗅探出哪些用户是血肉之躯，哪些是硅基生命，使这一代机器人拦截技术对大多数网民来说变得“完全隐形”。

几年后，在2022年，Cloudflare推出了Turnstile，这是reCaptcha的另一个替代品。这是远离人工完成测试、转向基于模式的使用分析的又一重大举措。与标准版reCaptcha类似，Turnstile可以免费添加到网站上。

你可能不记得它的名字，但你很可能遇到过这样的Turnstile挑战。它就是那个随机出现的请求你点击一个方框以证明你是人类的请求。

在用户端，Turnstile有时表现为一个基本的复选框，但实际情况要复杂得多。“点击按钮并不意味着你就通过了，”Tatoris说。“这是一种让我们从客户端、从设备、从软件那里收集更多信息以弄清发生了什么事的方式。”在收集数据后，才会决定是否允许用户访问网站。

领先的公司免费提供其安全软件是有明确原因的。“Cloudflare免费向整个互联网提供Turnstile，因为我们想要更多训练数据，”Tatoris说。“我们看到了互联网上20%的HTTP请求。因此，获得这个庞大的训练数据集有助于我们了解页面上的人类行为与机器人行为的区别。”

谷歌的Knudsen表示，他预计视觉挑战仍将存在，但将成为网站保护中越来越不重要和不频繁的方面。

奇怪的任务

尽管大多数阻止机器人的方法不再需要用户做太多输入，甚至不需要任何输入，但那些离谱的验证码仍然存在，即使它们已成为稀有品。

验证码游戏中的另一个，也是最新的参与者是Arkose Labs，该安全公司的付费MatchKey服务不一定完全是关于阻止机器人。“我们的一些产品就是你所定义的验证码，”Arkose的首席执行官兼创始人Kevin Gosschalk说。“但意图是进行成本防御，而不是人类防御。”

其挑战的目标是使攻击网站的成本高到不再有利可图。这些谜题是根据特定情况下的攻击进行定制的。例如，如果有人受雇手动解决安全挑战，Arkose可能会检测到这一点，并为其提供一个耗时的任务来完成，并且偶尔会否决他们的答案，无论答案是什么。

作为Arkose“成本防御”措施的一部分，该公司还销售一个MatchKey版本，旨在阻止来自使用大型语言模型或其他生成式AI工具的攻击。“你通过给它们提供新颖的、不寻常的、它们不应该知道或以前被问过的事情来击败LLM，”Gosschalk说。他举了一个例子，要求用户回答关于一个奇怪拼贴画的问题，比如一张假照片，照片中池塘里有一只青蛙，但它有鸟的头和马的倒影。这种杂乱的图像不太可能是AI模型之前见过的。

在接下来的几个月和几年里，如果你确实遇到在线安全挑战的奇怪情况，不要指望这些谜题会回到最初的迭代。再见了，那些扭曲的字母和数字的混乱组合，我直到你消失了才意识到我会想念你。

熟悉的挑战结构也可能最终被淘汰。“虽然经典的视觉谜题是众所周知的，但我们正在积极引入新的挑战类型——比如提示用户扫描QR码或执行特定的手势，”谷歌的Knudsen说。这使得该公司可以在不让用户因不可能完成的任务而感到困惑的情况下，仍然增加摩擦力。

像这样的安全措施的成功，并非完全通过阻止对网站的现有威胁来衡量。它取决于公司能多快地检测和预防不断变化的、新出现的攻击浪潮。“我们知道，两年后需要启动的新检测将与我们现在部署的完全不同，”Cloudflare的Tatoris说。

无论未来安全挑战将如何发展，随着它们的怪异程度和幕后信号的增加，我只希望我总能在线上证明我是一个人类。我从来不擅长考试。