最先被GPT革掉命的大概率是你每天都在用的验证码

日期：2024-06-20 |   作者: 磨矿机

  这个社区拒绝任何真实人类的进入。所有在上面发帖的，都是提前设定好角色属性的 “ 机器人 ”。

  当然，还有比较正常的因为在工作中受到挫折，而导致沉默寡言、喜欢独自看电影的 nioli。

  这些 AI 会在社区内自行发帖、转载和评论，虽然他们的设定一个个非常离谱，但单从社区的发帖上来看，还真的挺像那么一回事，根本没办法看出到底是不是真人在角色扮演。

  一些网友看到这一个新闻，立马开启了调侃模式，说是否也要设个验证码，用来防止人类进入。

  还有网友说，千万别让这些 AI 给溜出来了，不然都没法分辨对面到底是真人还是 AI 了。

  其中就包括一些黑产，他们能熟练应用大数据、云计算、人工智能等技术，开发应用程序，利用机器人来薅羊毛，抢票，刷评论等等。

  根据艾瑞咨询 2020 年发布的《 现代网络诈骗分析报告 》，早在 3 年前，全国黑产从业者就已超越了 40 万人，

  。而这些产值的来源，很多是各个平台在引流时所发放的红包和优惠券，这些黑产从业者抢占了真实用户的优惠资格，不仅没有给公司能够带来引流效果，还给企业造成了巨额损失。

  而现在，AI 爆发式的成长，让人与机器之间的界限越来越模糊，两个月前 ChatGPT-4 发布时，更是让人觉得机器与人已经没区别了，在示例中，GPT-4 可以直接看懂一张梗图表达的信息并解释这张梗图为什么好笑。

  比如之前 Meta 开源的 Segment Anything，只要输入你要识别的物体，它就能自动帮你把猫识别出来。

  理论上来讲，这类 AI 识图模型，搞不好比人类还擅长填写验证码，验证码的难度再提升下去，可能专门拦的是人类而不是机器。

  知危编辑部更加深入的了解之后，发现类似的技术已有应用了，比如这张需要让你识别梅花鹿的验证码。

  只需要把这张图片上传至某个识图网站，后台就能通过图片中的文字，了解到你要识别的物体，然后准确的告诉你梅花鹿在网页上的 XY 坐标。

  在随后的测试中，无论是 “ 按顺序点选文字 ” 还是 “ 点选图片中文字填充成语 ” 这种常见的验证码形式，都可以被破解。

  强悍的 AI 似乎可以读取并理解任何图片，常见的传统验证码在 AI 面前毫无任何还手之力，验证码开始变得 “ 失效 ” 了。

  过去，人们一向依赖验证码来进行人机区分，一旦验证码开始失效，人们就拦不住机器了，互联网将充满各种各样的机器人，充斥各种虚假流量，变成一个 “ 幽灵鬼网 ”。

  纵观验证码的发展历史，实际上的意思就是一场人与机器的对抗史，这段历史里有两个重要的人，一位名叫

  Luis von Ahn 发明了最早的验证程序，名叫 Captcha，它长下面这个样子，相信老网民应该都见过。

  但随着 AI 技术的发展，这种二维码基本已能完全被机器识别，人们开始想尽各种各样的办法提高问题的难度，比如早年 12306 的验证码，据说当年最低验证成功率只有 8%，

  于是，“ 如何在验证的复杂度和对人的友好度上进行改变？” 成为了验证码研发技术者需要思考的问题。

  2013 年，吴渊牵头创立极验公司，并首次提出了和传统验证完全不一样的新一代验证方式——

  这种验证没有复杂的识图，只需要按提示拖动滑块即可，整一个完整的过程简单粗暴，只要你会用电脑鼠标，你就一定能通过验证。

  但这样新的问题就来了，只需要拖动滑块位置，这一个模式对机器来说，那不是更好操作了吗？

  其实并没有，行为验证更在乎的并不是结果，而是整个行为的过程，其背后，是一整套复杂的判断算法。

  就像人类使用鼠标时的轨迹，它永远都不可能是一个完美的曲线一样，极验通过大量人类鼠标移动轨迹的数据，训练出了专门判断人类行为轨迹的 CNN 模型，再结合设备安全和网络安全等等综合因素来考虑，整一个完整的过程体现的就是判断智能化和操作简易化。

  这类验证码技术，极大地弥补了传统验证码的种种不足，而且由于强调了操作者的动手能力，还某些特定的程度上避免了静态内容屡遭破解的问题。

  于是，知危编辑部找到了极验这个行业头部，让他们来回答 “ 验证码会不会因 AI 的发展而失效 ” 这个疑问衍生的问题，更权威且具有参考意义。

  过去，黑产会通过虚拟号码、设备伪造、代理 IP 等手段对抗人机验证，而现在，

  验证码的生成是有固定范式模型的，而黑产利用 AI 通过大量的样本学习，可以学会验证码的 “ 生成套路 ”，在不更换生成模型的情况下，

  这种手段相较于常规手段效率更加高、规模更大，即便增加人员运营也无法追得上黑产 AI 的学习与破解速度。

  这能够在极短的时间内快速更新验证图库，使黑产有限的样本集没办法识别出新的图像，不但减少了经营成本、降低对客户的打扰率，还大幅度提升了黑产的攻击难度，使其利用 AI 技术生成的破解模型失效。

  可以说，我们的更新速度远远快于黑产的破解速度，掌握了这场攻防博弈对抗过程中的主动权，

  只要有垃圾注册、营销薅羊毛等现象的存在，我们就需要区分真人和机器人的技术，验证技术始终和AI并行发展，

  比如，我们大家可以使用一种人类用户不可见的验证问答，将字段插入到仅对机器人可见的屏幕上，诱骗它们填写答案并证明它们不是人类。

  ，风控方和黑产团伙都在不断学习新技术进行相互对抗，验证码的高水平攻防博弈还将持续下去，技术水平也将越来越高，

  在这个行业里，验证码服务商需要实时且及时地和客户做沟通，进行防御方案的准备。

  我们举个例子，发生在春节期间。由于春节临近，S 公司准备在除夕夜派发一波优惠券，而在信息透露之后，S 公司的近期异常数据也开始活跃，一看就知道是那些黑产的人员在前期进行试探了。

  其实我们对这类攻击处理的经验已经很多了，一般来说，在经过前期的试探之后，黑产人员会在优惠券上线的同时，发动大规模攻击。

  面对这种攻击，常规的解决方法是变更被攻破的验证形式，但同时，S 公司又希望在切换成新的 “ 图片点选 ” 后，还是能和滑动验证一样，使用的背景图是这次春节活动的宣传海报。

  这类要求不难解决，因为早在 2021 年，我们就实现了 “ 点选 ” 类型验证码对自定义背景图的支持，兼顾安全和品牌营销。而且一旦攻击量上来，还能实现验证形式的秒级切换。

  除夕当晚，如他们所料，在优惠券活动开始之后，黑产攻击立马开始，大量异常流量涌入，滑动验证码存在被破解的情况，除夕限时抢券的活动，因为抢不到券，S 公司被不少用户投诉，甚至有人退单。

  随后，根据 S 公司的反馈，这波黑产的攻击宣告失败了，各项数据基本恢复正常。

  “ 验证 ” 这件事，是非常有必要的，但验证的形式，大概率不再会是验证码了，而是其它形式，验证码会被埋进历史的尘埃。

  第二点就是，对抗黑产的 “ 反验证 ” 这件事儿，可能会更多地利用 “ 人的特质 ”。

  同时，人有独特的创造力和判断力，可以给被训练好的黑产 AI 一个措手不及，就像刚刚极验团队举的春节临时变更验证方案的例子。

  现在，技术不停地在推进这样一个世界的改变，推进人们的生活的改变，甚至推进机器越来越像人。

  “ 我们在未来该如何分辨真人和机器人？”，如果分辨不出，那么相关隐患是层出不穷的。

  从显性的企业和个人的利益上来讲，企业可能会被巨量的薅羊毛机器人给 “ 薅秃 ”，本该发给真实用户的优惠券或是限量发售的赛事演出门票，全都会被那些控制机器人的黑客给抢走，甚至更恶劣一点，黑客可通过机器人恶意耗尽企业在网络上的服务器资源，让正常用户没办法使用正常的服务。

  ，比如几个黑客，可以操控数十数百万个账号去 “ 攻陷 ” 网络上的每一个舆论场，凭借 AI 自动生成的与自然语言没区别的评论和发帖，控制舆论的走向，控制人们的思想，甚至凭空捏造一场莫须有的热点事件。