别再让我转动动物了
来自《大西洋月刊》
作者:Justin Pot
有时候,我怀疑自己是不是个机器人。问题在于验证码,网站要求你通过这些小小的在线挑战来证明你是人类。当一张图片出现在我的屏幕上时,我往往会花费太多的时间来观察由9张图片组成的网格,然后点击那些有红绿灯、人行横道或者自行车的图片…… 结果却错过了右下角那张看起来几乎不像自行车的图片。最近,我不得不把一只3D的鸟旋转到手指指示的方向,这应该很容易,但不知何故并非如此。CAPTCHA意为“区分计算机和人类的完全自动化的公共图灵测试”(Completely Automated Public Turing test to tell Computers and Humans Apart),所以如果我不断地搞砸,那么我显然就是一台计算机(我的妻子、房子和猫肯定都是植入的记忆。
验证码的存在并不是为了让我们怀疑自己的人性。它们被设计用来阻止垃圾邮件制造者、黑客和其他各种用来淹没或欺骗网站的僵尸程序。这些坏人可能想,比如说,自动发布虚假评论,窃取信用卡信息,或抢在你之前获得泰勒·斯威夫特(Taylor Swift)的门票。在大多数情况下,验证功能完成了他们的工作:在我把验证功能添加到我个人网站上的联系表格之前,我经常收到无穷无尽的电子邮件,提供打折类固醇和其他“有用”的优惠。如今这种事很少发生。
你可能已经注意到验证码越来越难了。一开始只是一串奇怪的字母,没有经过深思熟虑就打出来,现在已经变成了越来越难辨认的图像。那还是在我们进入动物旋转之前,这种东西我很少在第一次尝试中就做对。你可能想知道,因为现在是2023年,人工智能是否应该为这一切负责。的确如此。制作动物旋转拼图的Arkose实验室在其网站上表示,该系统是“反机器学习的迭代”,这意味着这种折磨人的工具是专门设计的,因为机器人可以解决其他验证码。你必须旋转动物的原因是你生活在是一个人工智能可以完成许多人类任务的世界的结果。Arkose 实验室和许多其他制造各种验证码的公司只能通过设计越来越难的拼图来跟上。在某种程度上,如果他们做不到,验证码就注定要失败。
在商界,有一句经典的谚语是这样说的:“快、便宜、好ーー永远只能同时满足两个。”快速修理一辆汽车不会便宜,快速修理一辆汽车便宜会导致不合格的工作。研究验证码技术的苏格兰斯特拉斯克莱德大学(University of Strathclyde)计算机科学教授Jeff Yan告诉我,你可以把同样的逻辑应用到验证码上。每个验证码都试图平衡三个因素:安全性、可用性和准确性。在这三个问题中,可用性是大多数人考虑的一个问题:一个验证码需要相对容易让各种各样能力人能够解决,然而,它越容易被人解决,机器人就越有可能解决它——因此,你还必须专注于构建一个准确的系统。此外还有安全问题:验证码还必须确保没有人能够黑进系统来完全绕过它。“这三件事情中的每一件都具有挑战性。”Yan表示。“人工智能使得设计验证码变得更加困难。”
所有这些可能意味着验证码需要变得不那么易用,以保持其安全。这不是什么新问题。自从验证身份识别技术(CAPTCHAs)这个术语在本世纪初(如果不是更早的话)被卡内基梅隆大学创造出来,它就一直在与机器进行军备竞赛。早期的方法是基于一串扭曲的文本,因为计算机无法识别字符。谷歌最终收购了 reCAPTCHA,一家由同样的研究人员创立的公司,部分原因是该系统还有另一个优势:解决它的验证码的人类同时也帮助图书实现数字化。如果一台计算机不能读一个单词,谷歌就会把它塞进验证码里,让人类来做这项工作。但是机器很快就能以近乎完美地准确度解析文本,促使人们转向图像识别。然后,机器人很快就能更好地识别图像,从而产生了带有更奇怪图片和任务的验证码。
加州大学欧文分校(UC Irvine)和微软的研究人员最近进行的一项研究显示,1400名参与者中的大多数人需要花15至26秒时间解决一个由图像组成的网格验证码,准确率达到81% 。与此同时,2020年3月测试的一个机器人被证明可以在平均19.9秒内解决类似的难题,准确率达到83% 。研究发现,在大多数验证码方面,机器已经比我们更好、更快了,而且这还是在考虑人工智能发展的速度之前。在今年早些时候的GPT-4测试阶段,该模型通过联系并雇佣一名真实的TaskRabbit兼职者解决了CAPTCHA问题。现在,GPT-4已经可以读图,OpenAI 说它已经解决了这些难题,而不再需要人类的帮助。
验证码公司的安全措施可以防止用户使用聊天机器人来解决验证码,这些措施并非万无一失,但对于任何以快速解决大量难题为目标的垃圾邮件制造者而言,绕过它们都是对时间的可怕浪费。许多公司也提供解决验证码的服务,2Captcha 可以以一美元的价格解决1000个CAPTCHA问题,它使用的是每小时50美分报酬的人类工作者。Capsolver等较新的公司声称,它们使用的是人工智能,收费大致相同。据推测,两者的区别在于速度:Capsolver 声称其模型在解决验证码方面比人类快得多。
压力到了验证码这边。最流行的类型,谷歌的reCAPTCHA v3,应该基本上没问题。谷歌云产品管理部门(该部门管理着reCAPTCHA)的高级主管杰斯·勒罗伊(Jess Leroy)告诉我,它通常在你点击复选框之前就通过监控你在网站上的活动来确定你的人性,并将其与“有机人类互动”模型进行比较。许多其他公司正在尝试使用类似的主要是非互动的策略来检测机器人。“一个正常的用户通常会访问主页,点击登录按钮,输入他们的登录信息,然后,比如说,去支付他们的账单。”勒罗伊说。“另一方面,攻击者可以通过雇佣人工或编写机器人来尝试许多不同的电子邮件和密码组合。”结论是:究竟是机器人还是真实人类在尝试使用多个密码登录并不特别重要——无论哪种情况都一样可疑。
根据勒罗伊的说法,活动监控已经比reCAPTCHA的视觉测试更为普遍,但是“在可预见的未来,视觉挑战仍将继续存在。”他说。活动监控的跟踪并不完美,所以谷歌可能仍然会为你提供一个传统的模糊自行车网格。我在自己的网站上测试过,如果我直接进入联系页面,在做其他事情之前点击验证码,我会看到一个视觉测试。不过,如果我浏览这个站点一会儿,我所需要做的就是勾选这个选项——不需要测试。
所以军备竞赛还在继续。但验证功能失败并不只是令人恼火——它阻碍了人们浏览互联网。据加州大学欧文分校的研究人员称,老年人可能需要花费更多的时间来解决不同类型的验证码,其他研究发现,非英语母语人士也是如此。这种烦恼可能会导致相当大一部分用户放弃。乐天Kobo的可访问性和出版标准负责人温迪·里德(Wendy Reid)告诉我: “这归根结底是访问问题。”乐天kobo销售电子书和电子阅读器,并使用验证码确认新帐户等。“如果验证功能失败,如果这些系统认为你不是人类,你就进不去。”里德说。例如:验证码通常为盲人用户提供音频测试选项,但是如果有人既是盲又聋呢?乐天Kobo使用的系统 hCAPTCHA有一个备用方案:用户可以提供他们的电子邮件地址,用于确认他们的身份。不过,对于一些不愿提供电子邮件地址的用户来说,这是一个隐私问题。你明白了吧:没有完美的解决方案。
这些谜题尽管现在不那么常见了,但是自2003年以来只有很小的改变。“大多数验证码仍然沿用旧的模式。”Yan告诉我,“20年过去了,主体基本保持不变。”每个系统都是围绕识别某些事物建立的——文本、图像、动物方向。如果“活动监控”不能在任何情况下都奏效,那么也许是时候做点别的事情了,Yan说: “有些问题是人工智能技术无法解决的。例如,人工智能无法像我们这样参与对话。”就我个人而言,我希望我不需要每次想要登录账户时都要和人类交谈,但我明白他的意思: 仍然有办法从机器中识别出人类。但是随着人工智能的提高,这样的方法只会越来越少,尤其是在你笔记电脑本上。
与生活中其他许多方面都在与同样的人工智能难题(学术界、编程、出版)作斗争不同,验证码的唯一目的是将机器人与人类区分开。研究人员非常热衷于找出一些人类比计算机做得更好的快速而简单的东西。曾经,主要是阅读潦草的文字;然后是识别图像;现在,显然,这是某种监视和旋转动物的组合。无论验证码接下来出现什么,都可能更令人讨厌,而且在我的电脑屏幕上出现时可能会使我产生更多的脏话。但是接下来这个恼人的小任务将会告诉我们作为人类意味着什么,这比一个已经没有这样的任务存在的世界要好得多。