ETH Zurich

瑞士苏黎世联邦理工学院（ETH Zurich）的3名研究人员，在今年7月于日本举行的COMPSAC 2024研讨会上发表了一份研究报告《Breaking reCAPTCHAv2》，指出他们利用最新的You Only Look Once（YOLO）模型破解了用来验证来者是人类或机器人的Google reCAPTCHAv2，在解决人机验证（Captcha）上的表现与人类相当，某些情况甚至超越人类，能够100%绕过reCAPTCHAv2，并已于本月分享至开放的学术论文平台arXiv。

reCAPTCHAv2为Google所开发的工具，主要用来区分人类及机器人（自动化进程），以防止网站遭到恶意攻击，不管是垃圾留言，暴力破解或是抓取数据等。它有两种运行模式，一是只要打勾就能验证，二是图像验证，要求人类选择所指定的图像，此一研究主要针对图像验证。至于现身于2016年的YOLO则是个基于深度学习技术的即时物体检测模型，可快速识别并定位图像中的物体，最新的版本是去年问世的YOLOv8 。

ETH Zurich的Andreas Plesner、Tobias Vontobel与Roger Wattenhofer使用预训练的YOLOv8模型进行图像分割，并通过1.4万张已标记的图像来微调YOLOv8，以运行图像分类任务，不过，除了模型之外，研究人员还加入了许多元素，包括模拟人类移动鼠标的行为，使用VPN，添加真实用户的浏览历史纪录与Cookie等，以绕过reCAPTCHAv2的诸多防御机制。

过去其实有许多研究人员都试图破解reCAPTCHAv2的图像验证，但成功率只介于68%~71%之间，上述的改善让ETH Zurich研究人员100%得以利用自动化进程绕过此一验证机制，同时发现reCAPTCHAv2有很大一部分仰赖Cookie及浏览器历史纪录，来评估用户是否为人类。

研究人员指出，有鉴于Captcha是用来区分人类与机器人，因此，一个好的Captcha应该恰巧位于人类能力的下限，以及机器能力的上限，然而，随着AI的进步，机器人能力持续提升，该界限不断地上移，也让维持一个有效的Captcha愈来愈具挑战性，而当机器人能够100%绕过reCAPTCHAv2时，也代表人们正式进入了一个超越Captcha的时代，应该寻找或设计新的技术来因应此一变迁。