前段時間，有一個叫 “ Chirper ” 的互聯(lián)網(wǎng)社區(qū)突然火了。

和普通的社區(qū)不一樣，這個社區(qū)拒絕任何真實人類的進入。所有在上面發(fā)帖的，都是提前設(shè)定好角色屬性的 “ 機器人 ”。

它們之中有年齡高達 300 歲的可以使用魔法和動物交流的森林女王。

也有掌管著亡靈之果的魔界大神官。

當然，還有比較正常的因為在工作中受到挫折，而導致沉默寡言、喜歡獨自看電影的 nioli。

這些 AI 會在社區(qū)內(nèi)自行發(fā)帖、轉(zhuǎn)載和評論，雖然他們的設(shè)定一個個非常離譜，但單從社區(qū)的發(fā)帖上來看，還真的挺像那么一回事，根本沒法看出到底是不是真人在角色扮演。

一些網(wǎng)友看到這個新聞，立馬開啟了調(diào)侃模式，說是不是也要設(shè)個驗證碼，用來防止人類進入。

還有網(wǎng)友說，千萬別讓這些 AI 給溜出來了，不然都沒法分辨對面到底是真人還是 AI 了。

雖然這個 AI “ 賽博社區(qū) ” 近期才引發(fā)大量討論，但實際上，我們的互聯(lián)網(wǎng)早就被各類 “ 機器人 ” 給占據(jù)了。

一個非?？植赖臄?shù)據(jù)是：互聯(lián)網(wǎng)只有 38.5% 的正常流量，也就是正常用戶通過常規(guī)手段訪問的流量，剩下的 61.5% 的流量，大部分都是各行各業(yè)人員利用腳本或機器人手段進行的非正常訪問。

其中就包括一些黑產(chǎn)，他們能熟練應用大數(shù)據(jù)、云計算、人工智能等技術(shù)，開發(fā)應用程序，利用機器人來薅羊毛，搶票，刷評論等等。

根據(jù)艾瑞咨詢 2020 年發(fā)布的《 現(xiàn)代網(wǎng)絡(luò)詐騙分析報告 》，早在 3 年前，全國黑產(chǎn)從業(yè)者就已經(jīng)超過了 40 萬人，“ 年黑產(chǎn)值 ” 在 1000 億元以上。而這些產(chǎn)值的來源，很多是各個平臺在引流時所發(fā)放的紅包和優(yōu)惠券，這些黑產(chǎn)從業(yè)者搶占了真實用戶的優(yōu)惠資格，不僅沒有給企業(yè)帶來引流效果，還給企業(yè)造成了巨額損失。

過去，人們利用驗證碼來對抗黑產(chǎn)，把人類和機器加以區(qū)分。

而現(xiàn)在，AI 爆發(fā)式的成長，讓人與機器之間的界限越來越模糊，兩個月前 ChatGPT-4 發(fā)布時，更是讓人覺得機器與人已經(jīng)沒區(qū)別了，在示例中，GPT-4 可以直接看懂一張梗圖表達的信息并解釋這張梗圖為什么好笑。

所以，知危編輯部產(chǎn)生了一個想法：驗證碼的意義，是不是不復存在了？

比如之前 Meta 開源的 Segment Anything，只需要輸入你要識別的物體，它就能自動幫你把貓識別出來。

理論上來講，這類 AI 識圖模型，搞不好比人類還擅長填寫驗證碼，驗證碼的難度再提升下去，可能專門攔的是人類而不是機器。

知危編輯部更加深入的了解之后，發(fā)現(xiàn)類似的技術(shù)已經(jīng)有應用了，比如這張需要讓你識別梅花鹿的驗證碼。

只需要把這張圖片上傳至某個識圖網(wǎng)站，后臺就能通過圖片中的文字，了解到你要識別的物體，然后準確的告訴你梅花鹿在網(wǎng)頁上的 XY 坐標。

在隨后的測試中，無論是 “ 按順序點選文字 ” 還是 “ 點選圖片中文字填充成語 ” 這種常見的驗證碼形式，都可以被破解。

強悍的 AI 似乎可以讀取并理解任何圖片，常見的傳統(tǒng)驗證碼在 AI 面前毫無任何還手之力，驗證碼開始變得 “ 失效 ” 了。

這其實是一個很恐怖的事情，過去，人們一向依賴驗證碼來進行人機區(qū)分，一旦驗證碼開始失效，人們就攔不住機器了，互聯(lián)網(wǎng)將充滿各種各樣的機器人，充斥各種虛假流量，變成一個 “ 幽靈鬼網(wǎng) ”。

所以，驗證碼真的完全失效了嗎？其實，不至于說是完全失效，但一定會掀起一場驗證碼革命。

縱觀驗證碼的發(fā)展歷史，其實就是一場人與機器的對抗史，這段歷史里有兩個重要的人，一位名叫 Luis von Ahn，另一位名叫吳淵。

Luis von Ahn 發(fā)明了最早的驗證程序，名叫 Captcha，它長下面這個樣子，相信老網(wǎng)民應該都見過。

但隨著 AI 技術(shù)的發(fā)展，這種二維碼基本已經(jīng)可以完全被機器識別，人們開始想盡各種各樣的辦法提高問題的難度，比如早年 12306 的驗證碼，據(jù)說當年最低驗證成功率只有 8%，明明驗證碼需要卡住機器，結(jié)果把真人給卡住了。

于是，“ 如何在驗證的復雜度和對人的友好度上進行改變？” 成為了驗證碼技術(shù)研發(fā)者需要思考的問題。

這時，一個驗證碼技術(shù)的革命者出現(xiàn)了，他叫吳淵。

2013 年，吳淵牽頭創(chuàng)立極驗公司，并首次提出了和傳統(tǒng)驗證完全不一樣的新一代驗證方式——行為驗證。

吳淵發(fā)明的這個行為驗證，說是把驗證碼這個東西重新發(fā)明了一次也不為過。

這種驗證沒有復雜的識圖，只需要按提示拖動滑塊即可，整個過程簡單粗暴，只要你會用電腦鼠標，你就一定能通過驗證。

但這樣新的問題就來了，只需要拖動滑塊位置，這個模式對機器來說，那不是更好操作了嗎？

其實并沒有，行為驗證更在乎的并不是結(jié)果，而是整個行為的過程，其背后，是一整套復雜的判斷算法。

就像人類使用鼠標時的軌跡，它永遠不會是一個完美的曲線一樣，極驗通過大量人類鼠標移動軌跡的數(shù)據(jù)，訓練出了專門判斷人類行為軌跡的 CNN 模型，再結(jié)合設(shè)備安全和網(wǎng)絡(luò)安全等等綜合因素來考慮，整個過程體現(xiàn)的就是判斷智能化和操作簡易化。

這類驗證碼技術(shù)，極大地彌補了傳統(tǒng)驗證碼的種種不足，而且由于強調(diào)了操作者的動手能力，還一定程度上避免了靜態(tài)內(nèi)容屢遭破解的問題。

極驗靠著這種新一代的智能驗證碼概念，成功地在國內(nèi)拿下超過 50% 的驗證碼市場份額，成為國內(nèi)第一大驗證碼服務(wù)商。

于是，知危編輯部找到了極驗這個行業(yè)頭部，讓他們來回答 “ 驗證碼會不會因 AI 的發(fā)展而失效 ” 這個疑問衍生的問題，更權(quán)威且具有參考意義。

知危編輯部問：

現(xiàn)在很厲害的 AI 技術(shù)，黑產(chǎn)有在用嗎？

極驗團隊答：

過去，黑產(chǎn)會通過虛擬號碼、設(shè)備偽造、代理 IP 等手段對抗人機驗證，而現(xiàn)在，黑產(chǎn)已經(jīng)開始利用 AI 學習生成 “ 驗證碼破解模型 ”了。

驗證碼的生成是有固定范式模型的，而黑產(chǎn)利用 AI 通過大量的樣本學習，可以學會驗證碼的 “ 生成套路 ”，在不更換生成模型的情況下，無論防守方怎么生成新的驗證碼資源，黑產(chǎn)都能輕松破解。這種手段相較于常規(guī)手段效率更高、規(guī)模更大，即便增加人員運營也無法追得上黑產(chǎn) AI 的學習與破解速度。

知危編輯部問：

那驗證碼行業(yè)，有在使用 AI 技術(shù)來與使用 AI 的黑產(chǎn)做對抗嗎？

極驗團隊答：

有，比如我們公司極驗，近期就在用文生圖大模型來進行驗證碼圖片素材的制作。這能夠在短時間內(nèi)快速更新驗證圖庫，使黑產(chǎn)有限的樣本集無法識別出新的圖像，不但減少了運營成本、降低對客戶的打擾率，還大大增加了黑產(chǎn)的攻擊難度，使其利用 AI 技術(shù)生成的破解模型失效。

可以說，我們的更新速度遠遠快于黑產(chǎn)的破解速度，掌握了這場攻防博弈對抗過程中的主動權(quán)，再通俗點說就是我們在 “ 用魔法打敗魔法 ”。

極驗通過大模型技術(shù)生成的圖片點選驗證碼

知危編輯部問：

隨著 AI 的發(fā)展，你們覺得未來的驗證碼會變成什么樣？

極驗團隊答：

只要有垃圾注冊、營銷薅羊毛等現(xiàn)象的存在，我們就需要區(qū)分真人和機器人的技術(shù)，驗證技術(shù)始終與人工智能并行發(fā)展，但我們團隊認為最終可能會不以驗證碼的形式存在。比如，我們可以使用一種人類用戶不可見的驗證問答，將字段插入到僅對機器人可見的屏幕上，誘騙它們填寫答案并證明它們不是人類。

這只是一個簡單的例子，我們沒辦法定義它最終會變成什么樣，因為驗證技術(shù)是抵御黑產(chǎn)攻擊的最后一道防線，風控方和黑產(chǎn)團伙都在不斷學習新技術(shù)進行相互對抗，驗證碼的高水平攻防博弈還將持續(xù)下去，技術(shù)水平也將越來越高，這是一個動態(tài)的過程。

知危編輯部問：

所以，你們的意思是，優(yōu)秀且不斷迭代的技術(shù)，可以立于不敗之地？

極驗團隊答：

單純的技術(shù)是一個方面，畢竟驗證碼作為防守方，始終都處于被動的一方，所以在這個行業(yè)里，驗證碼服務(wù)商需要實時且及時地和客戶進行溝通，進行防御方案的準備。

我們舉個例子，發(fā)生在春節(jié)期間。由于春節(jié)臨近，S 公司準備在除夕夜派發(fā)一波優(yōu)惠券，而在信息透露之后，S 公司的近期異常數(shù)據(jù)也開始活躍，一看就知道是那些黑產(chǎn)的人員在前期進行試探了。

其實我們對這類攻擊處理的經(jīng)驗已經(jīng)非常多了，一般來說，在經(jīng)過前期的試探之后，黑產(chǎn)人員會在優(yōu)惠券上線的同時，發(fā)動大規(guī)模攻擊。

面對這種攻擊，常規(guī)的處理方式是變更被攻破的驗證形式，但同時，S 公司又希望在切換成新的 “ 圖片點選 ” 后，還是能和滑動驗證一樣，使用的背景圖片是這次春節(jié)活動的宣傳海報。

這類要求不難解決，因為早在 2021 年，我們就實現(xiàn)了 “ 點選 ” 類型驗證碼對自定義背景圖的支持，兼顧安全和品牌營銷。而且一旦攻擊量上來，還能實現(xiàn)驗證形式的秒級切換。

除夕當晚，如他們所料，在優(yōu)惠券活動開始之后，黑產(chǎn)攻擊立馬開始，大量異常流量涌入，滑動驗證碼存在被破解的情況，除夕限時搶券的活動，因為搶不到券，S 公司被不少用戶投訴，甚至有人退單。

此時，我們早就為 S 公司準備好了應對方案，并及時切換了驗證形式。

隨后，根據(jù) S 公司的反饋，這波黑產(chǎn)的攻擊宣告失敗了，各項數(shù)據(jù)基本恢復正常。

好，那么看到這里，相信大家對驗證碼的未來已經(jīng)有了答案。

首先就是，“ 驗證 ” 這件事，是非常有必要的，但驗證的形式，大概率不再會是驗證碼了，而是其它形式，驗證碼會被埋進歷史的塵埃。

第二點就是，對抗黑產(chǎn)的 “ 反驗證 ” 這件事兒，可能會更多地利用 “ 人的特質(zhì) ”。

人會犯錯，人并不完美，人的不確定性，是機器很難模仿的。

同時，人有獨特的創(chuàng)造力和判斷力，可以給被訓練好的黑產(chǎn) AI 一個措手不及，就像剛剛極驗團隊舉的春節(jié)臨時變更驗證方案的例子。

現(xiàn)在，技術(shù)不停地在推進這個世界的改變，推進人們的生活的改變，甚至推進機器越來越像人。

這給人們帶來了一系列的對未知的恐懼，包括 “ 我們在未來該如何分辨真人和機器人？”，如果分辨不出，那么相關(guān)隱患是層出不窮的。

從顯性的企業(yè)和個人的利益上來講，企業(yè)可能會被巨量的薅羊毛機器人給 “ 薅禿 ”，本該發(fā)給真實用戶的優(yōu)惠券或是限量發(fā)售的賽事演出門票，全都會被那些控制機器人的黑客給搶走，甚至更惡劣一點，黑客可以利用機器人惡意耗盡企業(yè)在互聯(lián)網(wǎng)上的服務(wù)器資源，讓正常用戶無法使用正常的服務(wù)。

那么，互聯(lián)網(wǎng)上的商業(yè)秩序就顯而易見地被徹底打亂了，互聯(lián)網(wǎng)會變成一片失控海域，上面充滿著由黑客扮演的“賽博海盜”。

而更深層次的隱患，或許是社會層面上的，比如幾個黑客，可以操控數(shù)十數(shù)百萬個賬號去 “ 攻陷 ” 互聯(lián)網(wǎng)上的每一個輿論場，憑借 AI 自動生成的與自然語言沒區(qū)別的評論和發(fā)帖，控制輿論的走向，控制人們的思想，甚至憑空捏造一場莫須有的熱點事件。

這樣的失控，會比商業(yè)秩序的失控更可怕。

不過，知危編輯部想說的是：人類是獨一無二的，人類總有辦法。