『栈外』验证码这么难，是机器太聪明还是人太笨？( 二 )

最近有人致力开发游戏类型的验证码，要求用户将对象旋转到特定角度或将拼图块移动到位，指令并非以文本形式给出，而是以符号形式给出，或根据游戏界面的上下文暗示得出。他们觉得人们能够理解这种谜题的逻辑，而机器则会因为缺少明确的指令而陷入困境。
其他研究人员试图利用人类有实体这一事实，使用设备摄像机或增强现实技术来交互，证明人类的身份。
许多测试的问题其实不一定在于机器人太聪明，而在于人类的表现太差。这并不是说人类太蠢，而是人类在语言、文化和经验上有着广泛的多样性。
如果不考虑所有这些，就去设计一个任何人类不需要事先训练或深思熟虑都能通过的测试，你只能选择像图像处理这样的残酷任务，而AI也会愈发擅长这种任务。
“测试受到人类能力的限制， ”波拉基斯说， “不仅是我们的基本能力，你还需要一些跨文化、跨语言的能力。你需要设计出希腊、芝加哥、南非、伊朗和澳大利亚的人都能同时达成的某种挑战，它必须独立于复杂和差异性的文化。 ”
“你设计出的验证码要让所有普通人都能轻而易举地完成，而非特定的人群，同时这种测试也要让电脑难以通过。这给实际工作带来了很大的限制。这种验证必须是人们能很快完成的事情，而且不会太烦人。 ”
如何解决这些模糊的图像问题很快上升到了哲学层面：什么是可以向机器展示但机器又无法模仿的人类普遍素质？什么是人类？
但也许我们的人性不是由我们如何完成一项任务来衡量，而是由我们如何在世界（或互联网）上行动来衡量的。
舒曼·戈斯马尤德说，游戏验证码、视频验证码，不管你设计的是什么样的验证码测试，最终都会被破解。他曾在Google负责打击点击欺诈，后来成为机器人检测公司Shape Security的首席技术官。
相比测试，他更喜欢所谓的“持续认证” ，这种操作本质上就是观察用户的行为并寻找自动化的迹象。
“真正的人类无法很好地控制自己的运动机能，他们无法每次都以同样的方式移动鼠标。 ”戈斯马尤德说。机器人无需移动鼠标，或可以非常精确地移动鼠标来与页面进行交互，而人类的行为具有难以模仿的“熵” 。
Google自己的验证码团队也在思考类似的问题。 2018年底发布的最新版本reCAPTCHA V3使用“自适应风险分析” ，根据可疑程度为流量评分。
网站所有者可以选择向潜在危险用户提出挑战，比如密码请求或双因子身份验证。根据验证码团队的产品经理西·霍尔梅的说法， Google不会披露评分标准包含哪些因素，只是说Google会观察网站的“优质流量”有哪些特征，并以此来检测“劣质流量” 。
安全研究人员说，评分因素很可能是cookie、浏览器属性、流量模式的混合，以及其他因素。新的机器人检测模式有一个缺点——体验不佳，需要在浏览网页的同时进行最小程度的监视，因为VPN和反跟踪扩展等东西会让用户被标记为可疑。
Google验证码团队的工程主管亚伦·马伦芬特说，放弃图灵测试是为了避开这场人类不断输掉的竞争。
“随着人们在机器学习上投入越来越多的资金，这些挑战对人类来说越来越难，这也是我们推出CAPTCHA V3的原因，我们想要走在这一趋势前面。 ”
马伦芬特说， 5到10年后，验证码可能根本不可行。相反，大部分网页都会有一个持续的、秘密的图灵测试在后台运行。
《最有人性之人》一书中，布莱恩·克里斯蒂安作为人类对照参加了图灵测试比赛，他发现，在对话中证明人类身份是相当困难的。
另一方面，机器人很容易通过测试，并非因为它们是最能言善辩或最聪明的健谈者，而是因为它们用不符合逻辑的笑话和错误输入来回避问题。
在2014年机器人赢得图灵比赛的案例中，机器声称自己是一个13岁的乌克兰男孩，无法很好掌握英语。毕竟，犯错是人之常情。