反人类的验证码，早应该被干掉

钛媒体 • 2年前扫码分享

我是创始人李岩：很抱歉！给自己产品做个广告，点击进来看看。

反人类的验证码，早应该被干掉

爱范儿

· 刚刚

微信扫码

639

人类苦验证码久矣。

反人类的验证码，早应该被干掉

图片来源@视觉中国

钛媒体注：本文来源于微信公众号爱范儿（ID：ifanr），作者 | 张成晨，钛媒体经授权发布。

「我不是机器人」，本应是不言自明的事情。

但在计算机承认你是人类之前，你可能会被要求点击包含红绿灯或人行道的图像。

当你靠近屏幕眯起眼睛，思考一个微乎其微的边角算不算时，你就会知道，这并不像听起来那么容易。

这种难以自证的感觉，2015 年在 12306 抢票的春运人应该就有领略。

多年过去了，不断翻新花样的验证码，依然迫使你思考古老的哲学问题——我是谁？

微笑的狗，云做的马，自证是人更难了

某创意营销机构创始人 Jared Bauman 最近被验证码难住了。他疑惑的是，狗真的会笑吗？大多数狗看起来既不高兴也不难过，有些在做鬼脸，有些只是张着嘴。

8 月 2 日，他又被要求找出「用云做成的马」，9 张图里有 2 张用云做成的大象，他第一次点击时不幸败北。

Jared Bauman 意识到了一个严重的问题——找出红绿灯、公交车或烟囱已经过时了，验证码系统开始设置下一个级别的挑战了。

这些验证码出自 hCaptcha，开发者称，它比 Google 的验证码系统 reCAPTCHA 更注重隐私，只收集最低限度的必要个人数据。

而验证码为什么会越来越难，还是要从验证码是什么，以及 Google 的验证码系统 reCAPTCHA 是什么说起。

验证码（CAPTCHA），全称是「全自动区分计算机和人类的公开图灵测试」。

由于它是用计算机来考人类，而不是标准图灵测试中那样由人类来考计算机，所以验证码也被视为一种反向图灵测试。

验证码的设计初衷是，保护网站免受有害机器人的侵害，包括传播恶意软件、散布虚假账户、执行 DDoS 攻击、发送大量垃圾邮件、窃取用户信息等。这些机器人本质上是一行行自动运行的计算机代码。

验证码创建于 2000 年代初，最早由卡内基梅隆大学的几位计算机科学家开发。

最初的验证码采用了扭曲的文本形式，避免被光学字符识别等计算机程序自动识别，超过了当时计算机可以破译的程度，但对大多数人类可读。

很快，研究人员意识到这项技术具有区分人类和机器人之外的潜力，他们开发了 reCAPTCHA 技术，让用户在填写验证码的过程中将纸质档案数字化，因为人类可以比计算机更好地破译老旧文献中扭曲的字母。

这一阶段，用户必须输入两个词，一个是答案明确的真正测试，另一个是尚未转录的新词。通过向世界各地用户多次显示相同单词，reCAPTCHA 便可以自动验证单词是否被正确转录。

这就像互联网的一次众筹，求得你的时间而非金钱。互联网的神奇之处便在此，在技术支持下，再创造一些乐趣，你可以利用所有人的一点精力，自然而然聚沙成塔。

2009 年，Google 收购了 reCAPTCHA，并将其用于数字化 Google 图书和纽约时报档案。2011 年，Recaptcha 已经完成了整个 Google 图书档案、1300 万篇纽约时报文章的数字化。2012 年，它每天翻译大约 1.5 亿个单词。

验证码为什么越来越难？

人类沉浸在知识的海洋，机器人也没有停下学习的脚步。

2014 年，Google 发布了一个专门解读扭曲文本验证码的算法，人工智能技术已经能以 99.8% 的准确率解决最困难的扭曲文本，而人类的成功率是 33%。

扭曲的字母失去了它最初的用处，该让下一代验证码登场了。

2012 年，Google 推出了 reCAPTCHA 的图像识别版本，其中包括来自 Google 街景的照片，从而让用户转录门牌号码和其他标志。

类似当初将旧书数字化，在这个过程中，Google 一举多得，既防御了恶意脚本，自己的人工智能也在进步。
Google 称：「街景和 reCAPTCHA 团队密切合作，两者都将继续改进，使地图更加精确和有用，reCAPTCHA 更安全、更有效。」让地图更加精确和有用，意味着 Google 需要训练人工智能更好地识别图像中的物体。

那怎么训练人工智能？reCAPTCHA。数以亿计的用户为了证明自己是人类，为科技公司建立起了机器学习数据集。

进步的不止 Google。2017 年，开发人员 Francis Kim 进行了一项实验，用 40 行 Javascript构建了一个系统，使用 Google 竞争对手 Clarifai 的图像识别 API，尝试通过 reCAPTCHA 的图像验证码。结果，这个脚本成功找出了图中的商店。

理论上，这也可以使用 Google 自己的图像识别技术来实现。

Google 的验证码系统其实有两个目的：在用文本、图像等训练人工智能的同时，抑制恶性脚本的行为。但事实是，Google 的人工智能是越来越厉害了，但恶性脚本也在斗智斗勇中进步，只有用户证明自己是人越来越难了。
2014 年，Google 的「No CAPTCHA reCAPTCHA」登台，即「没有验证码的验证码」，界面简洁友好，只需要你坚信「我不是机器人」。

Google 称，它推出了一个新的 API，可观察用户行为，收集指针移动速率、当前 IP、是否使用插件、页面使用时间、进行过多少次点击等数据，从根本上简化了 reCAPTCHA 体验。大多数情况下，只需单击一下，就能确认用户是不是机器人。

但是，验证码没有消失。甚至可以说，最讨人厌的验证码出现了。

在风险分析引擎无法预测用户是不是人的情况下，Google 会让验证码再次出山，并且给出了更多新玩法，比如基于经典计算机视觉图像标记问题，让你选出所有包括猫或火鸡的照片。

此外，还有类似游戏的验证码，要求用户将物体旋转到特定角度，或将拼图移动到适当的位置。

人类能够理解谜题的逻辑，但缺乏明确指令的机器人会被难住。但以后会不会掌握就难说了。

机器学习得越多，人类拥有的优势就越少，这是一个道高一尺魔高一百丈的过程。