"我不是机器人& quot应该是不言自明的。

但在计算机识别出你是人类之前，你可能会被要求点击一张包含交通灯或人行道的图像。

当你斜眼看着屏幕，想想一个微小的角落算不算，你就知道没那么简单了。

这种难以证明自己的感觉，应该是2015年在12306抢票的春运旅客所体会到的。

时隔多年，千变万化的验证码依然逼着你去思考那个古老的哲学问题——我是谁？

请点击每张包含一只微笑的狗的图片。」

一家创意营销机构的创始人JaredBauman最近被验证码难倒了。他想知道，狗真的会笑吗？大多数狗狗看起来既不开心也不难过，有的在做鬼脸，有的只是在张嘴。

8月2日，他被要求找出& quot云做的马& quot。九张图里有两头云做的大象，他第一次点就不幸被打败了。

JaredBauman意识到了一个严重的问题。——发现红绿灯、公交车或烟囱已经过时，验证码系统已经开始设置下一关的挑战。

这些验证码来自hCaptcha，开发者表示，它比谷歌的验证码系统reCAPTCHA更注重隐私，只收集最少的必要个人数据。

为什么验证码越来越难，要看验证码是什么，谷歌的验证码系统reCAPTCHA是什么。

CAPTCHA，它的全称是& quot区分计算机和人类的全自动公共图灵测试& quot。

因为它是用一台计算机来测试人类，而不是像标准图灵测试中那样由人类来测试计算机，所以验证码也被视为一种逆向图灵测试。

验证码的初衷是保护网站免受有害机器人的攻击，包括传播恶意软件、传播虚假账号、执行DDoS攻击、发送大量垃圾邮件、窃取用户信息等。这些机器人本质上是自动运行的计算机代码行。

Captcha成立于21世纪初，最初是由卡内基梅隆大学的几位计算机科学家开发的。

最初的验证码采用了扭曲的文本形式，以避免被光学字符识别等计算机程序自动识别，这超过了当时计算机可以破译的程度，但却是大多数人类可读的。

很快，研究人员意识到这项技术有区分人类和机器人的潜力。他们开发了reCAPTCHA技术，允许用户在填写验证码的过程中数字化纸质文件，因为人类可以比计算机更好地破译旧文件中扭曲的字母。

在这个阶段，用户必须输入两个单词，一个是有明确答案的真题，一个是没有抄写的生词。ReCAPTCHA可以通过多次向世界各地的用户显示相同的单词，自动验证单词是否转录正确。

这就像互联网上的众筹，要的是你的时间而不是钱。这就是互联网的魔力。有了技术支持，创造一些乐趣。可以利用大家的一点点能量，自然聚沙成塔。

2009年，谷歌收购了reCAPTCHA，并用它来数字化谷歌图书和《纽约时报》档案。2011年，Recaptcha已经将整个谷歌图书档案和1300万篇《纽约时报》文章数字化。2012年每天翻译约1.5亿字。

微笑的狗，云做的马，自证是人更难了

2014年，谷歌发布了解读扭曲文本验证码的算法。人工智能技术已经能够以99.8%的准确率解决最困难的扭曲文本，而人类的成功率是33%。

扭曲的字母已经失去了原来的用途，是时候出现下一代验证码了。

2012年，谷歌推出了reCAPTCHA的图像识别版本，其中包括来自谷歌街景的照片，允许用户转录门牌号和其他标志。

类似于当初数字化旧书，在这个过程中，谷歌收获颇丰，不仅防御了恶意脚本，还提升了自己的人工智能。

2014年，谷歌说：& quot街景和reCAPTCHA团队紧密合作，双方都将继续改进，使地图更加准确和有用，并使reCAPTCHA更加安全和有效。让地图变得更准确、更有用，意味着谷歌需要训练人工智能更好地识别图像中的物体。

如何训练人工智能？reCAPTCHA .为了证明自己是人类，上亿用户为科技公司建立了机器学习数据集。

取得进步的不仅仅是谷歌。2017年，开发者FrancisKim进行了一项实验，用40行Javascript构建了一个系统，使用谷歌竞争对手Clarifai的图像识别API，试图通过reCAPTCHA的图像验证码。结果，这个脚本成功地找到了图片中的商店。

理论上，这也可以通过使用谷歌自己的图像识别技术来实现。

谷歌的验证码系统其实有两个目的：用文本、图像等训练人工智能。同时约束恶性剧本的行为。但事实是谷歌的人工智能越来越强大，但恶毒的脚本也在斗智斗勇中不断进步，只有用户证明自己是人越来越难。

2014年，谷歌的& quotNoCAPTCHA & quot出现在舞台上，就是& quot没有验证码的验证码& quot。界面简单友好，只要你坚信& quot我不是机器人& quot。

谷歌声称推出了新的API，可以观察用户行为，收集指针移动速度、当前IP、是否使用插件、页面使用时间、点击次数等数据，从而从根本上简化reCAPTCHA体验。大多数情况下，你可以一键确认用户是否是机器人。

然而，验证码没有

在风险分析引擎无法预测用户是不是人的情况下，Google会让验证码再次出山，并且给出了更多新玩法，比如基于经典计算机视觉图像标记问题，让你选出所有包括猫或火鸡的照片。

此外，还有类似游戏的验证码，要求用户将物体旋转到特定角度，或将拼图移动到适当的位置。

人类能够理解谜题的逻辑，但缺乏明确指令的机器人会被难住。但以后会不会掌握就难说了。

机器学习得越多，人类拥有的优势就越少，这是一个道高一尺魔高一百丈的过程。

验证码可以被替代吗？

伊利诺伊大学芝加哥分校计算机科学教授JasonPolakis指出，机器学习现在在基本的文本、图像和语音识别任务上与人类差不多，「我们需要一些替代方案」。

更重要的是，在验证码系统前，用户体验和可访问性大大降低。验证码对很多人来说不容易，特别是老人等有学习障碍的群体。

为老年客户提供技术建议的EileenRidge表示，她经常接到客户的电话，老人很难辨别油漆磨损的人行道和正常的人行横道，并且十分担心自己因为错误答案被锁定帐户，就像许多国内老年人对互联网的态度一样。

微笑的狗、云做的马，对他们来说可能更难。

而代替验证码的方案，也在不断开发中。

一些网站使用一种人类用户不可见的验证码形式，将字段插入到仅对机器人可见的屏幕上，诱骗它们填写表格并证明它们不是人类。

近两年，Google推出了新验证码系统reCaptchav3，它采用逆向思维，自动记录使用者在网站中浏览的行为特征，根据这些记录来给用户打分，若用户分数过低则会被判定为机器人。否则不会打扰到用户，上网体验很丝滑。但它可能涉及隐私问题。

FastCompany报道，用户是否使用GoogleCookies是决定评分的一个重要因素。如果用户选择让Google记住登录信息的话，会得到更高的分数，没有登录Google帐号，或者使用VPN或者洋葱浏览器通常会被提示高风险。

机器人检测公司ShapeSecurity的首席技术官Ghosemajumder则认为，游戏验证码、视频验证码等验证码测试，最终都会被破解。与测试相比，他更喜欢「持续身份验证」，本质是观察用户的行为，从中寻找自动化的迹象：

「一个真正的人类不能很好地控制自己的运动功能，因此即使他们非常努力地尝试，他们也不能在多次交互中多次以相同的方式移动鼠标。」

今年6月，苹果在全球开发者大会宣布将用私人访问令牌（PrivateAccessTokens）取代验证码。

密码或生物识别解锁手机、打开浏览器、精准输入网站……一系列操作足以「验明正身」。当苹果系统验证该设备和AppleID帐户是正常状态，再向需要验证码的app或网站提供「私人访问令牌」即可。

提供网站安全管理的Cloudflare、Ffast等公司已支持私人访问令牌，用iOS16设备登录这两家公司的app或网站，不再需要验证码。目前，这项技术还在推广之中，需要更多的支持者加入，才能更好用。

苹果工程师TommyPauly指出：「这将为很多人节省大量时间，并且用户喜欢被信任的感觉。」

但只要有虚假账户、垃圾邮件、骚扰信息等，我们仍然需要将人类用户与机器人分开的技术，某种形式的验证码技术将始终存在，与人工智能并行发展。

未来，验证码系统识别人类，很可能不是通过我们超越机器人的能力，而是通过我们犯错误的可能。也就是说设置更多挑战性的测试，我们往往会失败，而机器人给出正确答案。或许，在我们抓耳挠腮地寻找图中所有的信号灯时，就是在进行以人类一败涂地为结局的斗争。

参考资料：
1.https://auth0.com/blog/captcha-can-ruin-your-ux-here-s-how-to-use-it-right/
2.https://www.wired.com/story/smiling-dogs-horses-made-of-clouds-captcha-has-gone-too-far/
3.https://www.techradar.com/news/captcha-if-you-can-how-youve-been-training-ai-for-years-without-realising-it
4.https://www.theverge.com/2019/2/1/18205610/google-captcha-ai-robot-human-difficult-artificial-intelligence