CAPTCHA сломана: конец эпохи «я не робот»

0
11

Остановитесь и вспомните последний раз, когда вы пытались войти на какой-либо сайт.

Вы нажимали на этот квадратный чекбокс? На том, где написано «Я не робот»? Вам действительно казалось, что вы нажимаете его как робот?

Возможно, вам не нужно было ничего нажимать. Может быть, система просто проанализировала дрожание курсора, историю вашего IP-адреса и файлы cookie, и пропустила вас, решив, что вы реальный человек. Но иногда появляется сетка изображений. Размытые квадраты. Светофоры. Пешеходные переходы. Мотоциклы.

Распознайте их. Сделайте это сейчас. Иначе ваш доступ будет заблокирован.

CAPTCHA расшифровывается как Completely Automated Public Turing Test to Tell Computers and Humans Apart (Полностью автоматизированный публичный тест Тьюринга для различения компьютеров и людей). Звучит громоздко. Но имя подразумевает простое обещание: эти задачи просты для человека, но сложны для ботов. Следовательно, спам прекращается, взломы аккаунтов останавливаются, а сайт остается в безопасности.

Это работало когда-то. В конце 90-х. В то время, когда чтение искаженного текста было головоломкой, которую машины не могли разгадать.

Андреас Плеснер из Цюрихского федерального политехнического института (ETH Zurich) назвал это простой проблемой, скрытой под сложной оболочкой. «Если я не могу коснуться тебя. Если у меня нет физического взаимодействия с другой стороной. Это человек? Или код?»

Первые версии полагались на искривленные слова. Программы распознавания текста тогда были неуклюжими. Они спотыкались о кривизну и шум изображений. Поэтому мы добавляли больше искажений. Мы усложняли задачу.

Затем Google выкупил эту технологию. Где-то в 2009 году. Тест изменился: от текста к изображениям. reCAPTCHA начала использовать фрагменты Street View. Распознайте знаки «Стоп». Распознайте велосипеды.

Нг Чонг, руководитель ИТ-направления Университета ООН в Токио, сформулировал это прямо:

«Ставка делалась на то, что распознавание объектов на зашумленных фотографиях реального мира — это уникально человеческое умение».

Это была хорошая ставка. На тот момент. Люди хорошо замечают предметы среди шума. Боты — нет.

Но затем reCAPTCHA v2 открыла эру чекбоксов. Под визуальной головоломкой находится слой поведенческого анализа. Он наблюдает за тем, как вы двигаете мышью. Скорость. Время наведения. Скорость клика. Он оценивает вашу человечность еще до того, как попросит найти светофор. Если вы вызываете подозрения, появляется сетка.

Подозрение — вещь субъективная. Поэтому его автоматизировали.

А затем AI (искусственный интеллект) проснулся.

Недорогие модели глубокого обучения преодолели барьер успеха в 70% еще в 2016 году. Всего шесть лет назад. Обычный ноутбук мог делать то, что мог человек.

К 2024 году команда Плеснера создала модель AI. Она решала головоломки reCAPTCHA правильно. Каждый раз. Точность сто процентов.

А Нг Чонг? В начале 2026 года он создал инструмент, который так точно имитировал паттерны человеческого серфинга, что полностью обходил визуальную сетку. Иногда чекбокс оставался пустым. Головоломки не требовалось. Только фальшивое поведение. Когда все же появлялась сетка, его AI проходил ее за пару попыток.

Так что же теперь?

Когда не работают ни поведенческий слой, ни визуальная головоломка. Когда ноутбук на вашем столе ломает код. Исходная предпосылка исчезает. Предположение, что люди могут то, что не могут машины, перестает быть верным.

Устарели ли они теперь?

Не совсем.

Плеснер отметил лазейку. Модель победила головоломку. Но она не победила защиту на бэкенде. Его команде пришлось использовать VPN. Менять IP-адреса после каждого теста. Потому что повторные обращения с одного IP к движку CAPTCHA вызывают повышение сложности блоков. Полные баны.

Современная игра больше не о картинках. Это игра в тени. О метаданных.

reCAPTCHA v3, Friendly CAPTCHA, hCAPTCHA, Cloudflare Turnstile. Они не задают вопросов. Они просто наблюдают. Запускаетесь ли вы с аттестованного устройства? С реального железа? Или это безголовый скрипт (headless script)? Бил ли ваш IP сервер раньше? Какова ваша история с файлами cookie?

Это тихая аудитория. Никакого трения для пользователя. Если ваш балл хорош — вы входите.

Но сетки остаются.

Они дешевы. Легки в развертывании. Это наследие десятилетий. Статус-кво сохраняется, потому что менять вещи сложно. По словам Чонга, для многих это все еще экономически эффективно.

Но есть обратная сторона. Помимо ботов.

Люди их ненавидят. И не только потому, что выбирать пешеходные переходы раздражает. Это исключает из системы. Люди с нарушениями зрения испытывают трудности с визуальными тестами. Это создает барьеры там, где их не должно быть.

Один исследователь указал на это в 2022 году. Мы построили привратника, который вредит тем самым людям, которых он пытается защитить.

Нил Агарвал высмеял это раздражение в бесплатной игре «Я не робот». Она пародирует эскалацию. Уровень один. Простой. Уровень десять. Абсурдный. Вы получаете очки, проваливая логику. Решая головоломки, требующие уровня PhD по математике, а не по веб-безопасности.

Если для прохождения CAPTCHA требуется докторская диссертация. Кто тогда использует интернет?

Мы не хотим, чтобы веб был эксклюзивным. Мы не хотим доказывать свою принадлежность к виду каждый вторник в 16:00.

Поэтому решение — не в более сложных головоломках.

Может быть, решение — отпустить ситуацию. Или создать другой вид теста. Такой, который не требует доказательств того, что вы не машина. Такой, который по умолчанию считает вас реальным. Пока не доказано обратное.

Машины догоняют. Быстро. Черепашки и ястребы сливаются в размытом квадрате.

Можете ли вы различить их?