CAPTCHA sono rotti

0
9

Fermare. Ripensa all’ultima volta che hai provato ad accedere a un sito web.

Hai fatto clic su quella casella di controllo? Quello che dice Non sono un robot? Ti sei sentito davvero un robot mentre lo cliccavi?

Forse non dovevi fare clic su nulla. Forse il codice ha semplicemente guardato il tremolio del tuo mouse, la tua cronologia IP, i tuoi cookie e ti ha lasciato entrare perché immaginava che fossi reale. Ma a volte appare la griglia. Quadrati granulosi. Semaforo. Attraversamenti pedonali. Motociclette.

Identificarli. Fallo adesso. Oppure sei bannato.

CAPTCHA sta per Test di Turing pubblico completamente automatizzato per distinguere i computer e gli esseri umani. Un boccone. Il nome implica una semplice promessa. Questi compiti sono facili per gli esseri umani. Difficile per i bot. Pertanto, lo spam si ferma. Stop ai furti di account. Il sito rimane sicuro.

Ha funzionato una volta. Alla fine degli anni ’90. Ai tempi in cui leggere testi distorti era un puzzle che le macchine non riuscivano a risolvere.

Andreas Plesner dell’ETH di Zurigo lo ha definito un problema semplice avvolto in un guscio difficile. Se non posso toccarti. Se non ho interazione fisica con l’altra parte. È una persona? O codice?

Le prime versioni si basavano su parole deformate. Allora il software di riconoscimento del testo era goffo. È inciampato nella curvatura e nel rumore. Quindi abbiamo aggiunto più curvatura. Abbiamo peggiorato le cose.

Quindi Google ha acquistato la tecnologia. Intorno al 2009 o giù di lì. Il test è cambiato. Dal testo alle immagini. reCAPTCHA ha eliminato i riquadri Street View. Identificare i segnali di stop. Identificare le biciclette.

Ng Chong, che dirige l’IT presso l’Università delle Nazioni Unite a Tokyo, lo ha detto chiaramente.

“La scommessa era che riconoscere gli oggetti nelle foto confuse del mondo reale era un’abilità unicamente umana”

È stata una buona scommessa. Al momento. Gli esseri umani sono bravi a individuare le cose nel rumore. I robot no.

Ma poi è arrivato reCAPTCHA v2. L’era delle caselle di controllo. Sotto il puzzle delle immagini si trova uno strato di analisi comportamentale. Osserva come ti muovi. La velocità. Il tempo di passaggio del mouse. La velocità del clic. Giudica la tua umanità prima di chiederti di individuare un semaforo. Se sembri sospettoso. Viene visualizzata la griglia.

Il sospetto è soggettivo. Quindi lo hanno automatizzato.

Poi l’IA si è svegliata.

I modelli di deep learning a basso costo hanno superato la barriera del 70% del tasso di successo già nel 2016, appena sei anni fa. Un laptop potrebbe fare ciò che potrebbe fare un essere umano.

Entro il 2024 il team di Plesner ha costruito un modello di intelligenza artificiale. Ha risolto correttamente i puzzle reCAPTCHA. Ogni volta. Precisione al cento per cento.

E Chong? All’inizio del 2026 ha creato uno strumento che imitava così bene i modelli di navigazione umana da aggirare completamente la griglia delle immagini. A volte la casella rimaneva vuota. Nessun puzzle necessario. Solo un comportamento falso. Quando la griglia è apparsa, la sua IA l’ha cancellata in pochi tentativi.

E adesso?

Quando sia il livello comportamentale che il puzzle dell’immagine falliscono. Quando un laptop sulla tua scrivania infrange il codice. La premessa svanisce. L’ipotesi che gli esseri umani possano fare ciò che le macchine non possono fare smette di essere vera.

Allora sono obsoleti?

Non proprio.

Plesner ha notato una scappatoia. Il modello ha risolto il puzzle. Non ha battuto le difese del backend. Il suo team ha dovuto utilizzare le VPN. Modifica degli indirizzi IP ad ogni test. Perché un IP che colpisce ripetutamente un motore CAPTCHA attiva blocchi di difficoltà più elevata. Divieti totali.

Il gioco moderno non riguarda più l’immagine. Riguarda le ombre. I metadati.

reCAPTCHA v3 CAPTCHA amichevole hCAPTCHA Tornello Cloudflare. Non fanno domande. Si limitano a guardare. Corri da un dispositivo certificato? Un vero pezzo di hardware. O una sceneggiatura senza testa? Il tuo IP ha già colpito il server? Qual è la cronologia dei tuoi cookie?

È un audit silenzioso. Nessun attrito da parte dell’utente. Se ottieni un buon punteggio. Tu entri.

Ma le griglie restano.

Sono economici. Facile da implementare. Un’eredità di decenni. Lo status quo persiste perché cambiare le cose è difficile. Chong afferma che per molti è ancora conveniente.

C’è uno svantaggio. A parte i bot.

Gli umani li odiano. E non solo perché è fastidioso individuare le strisce pedonali. È esclusivo. Le persone con disabilità visive hanno difficoltà con i test basati su immagini. Crea barriere dove non dovrebbero esistere.

Un ricercatore lo ha sottolineato nel 2022. Abbiamo costruito un gatekeeper che ferisce le persone che cerca di proteggere.

Neal Agarwal ha fatto satira su questa frustrazione con un gioco gratuito. “Non sono un robot.” È una parodia dell’escalation. Fase uno. Semplice. Fase dieci. Assurdo. Guadagni punti fallendo la logica. Risolvendo enigmi che richiedono più matematica da dottorato di quanto richieda la sicurezza web.

Se il CAPTCHA richiede il superamento di una tesi di dottorato. Chi usa Internet?

Non vogliamo che il web sia esclusivo. Non vogliamo dimostrare la nostra appartenenza alla specie ogni martedì alle 16:00.

Quindi la soluzione non sono gli enigmi più difficili.

Forse la soluzione è lasciare andare. Oppure costruendo un diverso tipo di test. Uno che non ti richiede di dimostrare che non sei una macchina. Uno che presuppone che tu sia reale. Salvo prova contraria.

Le macchine stanno recuperando terreno. Veloce. Le tartarughe e i falchi si confondono nel quadrato granuloso.

Puoi distinguerli?