本文来自微信公众号: RUC新闻坊 ,作者:人大新闻系
这些熟悉又烦人的“互联网闯关题”,已经悄悄塞满我们上网的每一道缝隙。
你或许没意识到,每次登录、支付、下载前,手指那几秒的“答题仪式”,正在悄悄吞掉我们成堆的时间、被忽略的电量、甚至还有一不小心就交出去的隐私碎片。
这场全民被迫参与的“人机证明”疲劳战,早已超出了简单的安全验证范畴,演变成一场涉及数亿用户的隐性消耗,其背后的成本与收益失衡,更值得深入拆解。而当人工智能(以下简称AI)的浪潮席卷而来,我们真的还能向计算机证明“我是人类”吗?
数不清的验证码,让多少人头疼
各大社交平台上对于验证码的吐槽早已不是新鲜事,从简单的扭曲数字到识别五花八门的物品再到文字游戏甚至高数题,形形色色的验证码(全称为“全自动区分计算机和人类的图灵测试”)让人们眼花缭乱。
我们统计社交平台的评论数据,发现对验证码持负面态度的用户占比极高,可谓是吐槽重灾区,原本用于区分人机的验证机制,反倒成了阻碍正常使用的“绊脚石”。
而在情感上,吐槽、抱怨、无奈等负面情绪占据主导。
有网友这样吐槽:“我不知道你们有没有用过epic的验证码,它给了九张迷宫图,有奶酪和吃奶酪的老鼠,问哪个老鼠不可以吃到奶酪…然后答对了一个还不算完,要连对六次,然后中间如果有答错的,它还等我答完六次才告诉我,然后又要重来,这时候图片又变了。”[1]
在众多验证系统中,嵌入诸多网络服务的谷歌reCAPTCHA无疑是最具争议性的一个。堪称“灵魂拷问”的验证题目——模糊到辨认不清的街景图像、边界模糊但又精确到像素级要求的物体分类,常常让用户陷入反复失败的窘境。更令人无奈的是,一旦答题失误便需重新认证,若多次尝试未通过,系统甚至会直接拒绝验证请求,将用户挡在网络服务之外。
有研究表示,reCAPTCHA自推出以来,已累计耗费全球用户高达8.19亿小时的人力时间,这笔时间成本按市场最低时薪保守换算约合61亿美元,而这些本应由企业承担数据识别与标注的劳动力成本,却通过验证机制众包给了普通用户[2]。
验证过程中产生的数据,已为谷歌创造了巨大的商业价值。这其中不仅有直接服务于谷歌模型训练的数据,更有通过跟踪用户Cookie流入谷歌广告生态的数据,它们都转化成了巨额的收益。相比之下,用户不仅打了白工,还可能在无形中让渡了数据权益[3]。
当用户为完成验证而不断消耗时间与精力时,我们不得不重新追问:验证码究竟是在守护安全,还是在制造新的数字负担?而当技术迅猛发展,AI开始质询人与机器的边界时,我们也需重思如何才能更好地守护网络安全。
AI时代,验证码还能分清人机吗
2022年11月,ChatGPT的发布引发全球大模型研发热潮。时至今日,仅Open AI就已经推出了20多个版本的大模型产品,还有DeepSeek、豆包、文心一言等众多产品的出现,共同推动了技术不断向前发展[4]。
AI大语言模型风生水起的当下,不少人感叹“图灵测试已经被画上了句点”[5]。那么基于“反图灵测试”逻辑的验证码是否也会受到AI冲击,产生全新的变革?
某互联网公司安全研究员尚文认为,使用AI技术来提升验证码安全性能暂时还没有听说过好的方案,但其确实能在验证码破解的图文识别环节提供不少帮助。
AI在验证码识别中起到的作用有多大?我们抽取了四类便于直接对话的验证码,通过豆包进行了一个实验。
结果显示,除文本识别型验证码,其余三类验证码的正确率均在80%以上,豆包在图像意义的选择上甚至没有任何错误。而现有研究中,人类识别这几类验证码的正确率多在70%以上[6],豆包在图像认知上似乎已达到甚或超越人类平均水平。
需要注意的是,我们的实验仅针对“视觉理解”,传统验证码破解还包括“认知计划”“动作控制”两个过程[7],若想全面探究AI的作用,仍需更深入的代码实验。
而针对复杂动态验证码,目前已有学者自建测试平台探究AI在这方面的表现,但数据显示热门大语言模型产品的正确率与人类相比总体都不算高。同时,大模型API调用并非免费,甚至有些的性价比实在令人汗颜——如Openai-o1正确率仅有5%,但调用费用却接近100美元[8]。
研究数据显示,主流大模型在面对动态验证码时,常常陷入“过度分解任务”的问题。例如在“序列点击”任务中,人类通常只需“识别图案→记住顺序→一次性点击完成”;而大模型(如Openai-o3)往往会把操作细化为十余步,比如“记住第一个图标”“确认当前状态”“点击后等待反馈”……这使得操作流程不仅被严重拖慢,还增加出错概率[9]。
这类现象恰恰反映出当前大语言模型在交互动态场景下的劣势——缺乏人类式的抽象、泛化与控制能力。
尽管有研究者表示,目前的验证码迟早会随着大模型能力的增长而被攻破[10];但从认识论层面来看,验证码更像是一面散射我们与机器间真正差异的棱镜,不断使我们之所以为“人”的核心更加清晰。
证明“我是人类”:我们究竟何以为人
回溯验证码的发展史,我们发现,这并不只是一场技术上的“猫鼠游戏”。
2000年Luis von Ahn采用验证码的形式,在注册过程中随机显示一些波浪状、辨识度低的字母来区分人与机器。从此,验证码的安全性被确定在“某些任务对大多数人类容易,而对当前的计算机程序困难”这一逻辑下[11]。
随后二十多年间,验证码技术不断创新,从文本到图像,从游戏到物理传感,形式日趋多样,考察难度与维度也与日俱增,不断在追问与反问的过程中找寻那些只有人能轻松解决的问题。
验证码在难度与维度上的增长,对于互联网安全来说算是件好事,但从攻击方看来,破解也并非难事,如成熟的OCR(光学字符识别)技术配合程序就可轻易攻破传统的文本识别型验证码[12]。
后续开发者们精心设计的各种巧思,很快也会被攻击者找到破解方法。每当有新的验证方案诞生,不久就会有自动化破解的方案予以回应。
数据可见,多数验证码都难逃被破解的命运。验证码的技术史,亦是一部破解技术的演化史。从破解的角度,攻击方证明相应问题并非人机之间的本质差异,倒逼防守方重新寻找答案;而AI的崛起,更像是这场持续的实验中一个最新引入的变量。
尚文表示,网络服务提供商对于验证码类型的选择,主要考虑的是用户体验与业务敏感程度两个因素——用户量大的应用需要在乎用户体验,因此会选择较简单的识别方式,但这也往往伴随着识别不准的问题;而如银行这样的敏感业务则聚焦更加精准的识别,身份验证设计可能更为复杂。
因此,与其说这是一场技术之争,不如说是一道成本与收益的计算题——当破解技术推高防守成本时,网络服务提供商需要在安全防护与用户体验之间,重新寻找一个动态平衡点。
正如我们最开始的考察,如今完成“服从性测试”般的验证码任务已然让用户叫苦连天,并且现下主流验证码越来越容易被自动化攻破[13][14]。过往基于内容识别的路径似乎已经走到尽头,“看图做题”并非人类的专利。
未来证明“我是人类”或许并非愈发复杂,而恰恰可能走向某种更简洁、更本质的交互。
当传统的“看图做题”式验证因AI的高歌猛进而日渐失效,当安全与体验的天平开始摇摆不定,验证码的演变便呈现出一个悖论——我们希望人机验证能成为人类独有的证明,但采用的方式却是机器易于学习的,结果竟催生出更擅长模仿人类的机器。
回顾这段历程,从扭曲文字到图像识别,从行为分析到无感验证,每一次技术的突破都不只是一次安全升级,更是一场对人类自身特质的重新审视与考量。这段跌宕起伏的来时路,正是我们对“何以为人”这一命题持续追问所留下的足迹。
感谢安全研究员尚文对本文的支持!
参考文献:
[1]差评君.(2020).【差评君】验证码不光可以白嫖人的智力,没准还侵犯你的隐私.bilibili.https://www.bilibili.com/video/BV1T54y1v74W.
[2]Searles,A.,Alrashed,T.,&Alshahrani,F.(2023).Dazed&confused:A large-scale real-worlduser study of reCAPTCHAv2.arXiv.https://arx-iv.org/abs/2311.1091.
[3]同[2]
[4]AI秘书.(2025).OpenAI大模型推出时间表(2022-2025.8).深圳市人工智能产业协会研究部.https://szaicx.com/page00181?article_id=18254.
[5]湃客工坊.(2022).文字生万物,AI极简史.https://mp.weixin.qq.com/s/IItHyoXKIHuOFTNzGqCwZg
[6]同[2]
[7]Luo,Y.,Liu,Z.,Wang,X.,Li,Z.,Yin,Y.,&Li,B.(2025).Open CaptchaWorld:A comprehensive web-based platform for testing and benchmarking multimodal LLM agents.arXiv.https://arxiv.org/abs/2505.24878
[8]同[7]
[9]同[7]
[10]同[7]
[11]von Ahn,L.,Blum,M.,Hopper,N.J.,Langford,J.(2003).CAPTCHA:Using Hard AI Problems for Security.In:Biham,E.(eds)Advances in Cryptology—EUROCRYPT 2003.EUROCRYPT 2003.Lecture Notes in Computer Science,vol 2656.Springer,Berlin,Heidelberg.https://doi.org/10.1007/3-540-39200-9_18
[12]王斌君,王靖亚,杜凯选&韩宇.(2013).验证码技术的攻防对策研究.计算机应用研究,30(09),2776-2779.
[13]Sivakorn,S.,Polakis,J.,&Keromytis,A.D.(2016).I'm Not a Human:Breaking the Google reCAPTCHA.
[14]同[2]