我们常用的验证码也 AI 了

现在当我们熟悉地打开腾讯的登录页面，可以发现曾经熟悉的登录验证码变了样。现在网页端登录QQ，验证码阶段不再是输入正确的数字、英文单词或者移动滑条，而是需要手动选出一张或者两张符合文字描述的、由AIGC生成的图片。

对用户来说哪种形式的验证都是流程的一环而已，填写正确数字和选择符合描述的图片区别不大，甚至选择这种由AI生成的图片还更直观一些，有时随机生成的数字、字母，刷新三四次都依然看不清写的是什么。

但对网络安全来说，AI的加入有着重大意义。单单是验证码系统，就曾因为AI发展的需要大幅度改变形态，现在又和AI的衍生物：AIGC紧密结合到一起，进入了新阶段。

验证码的前世今生

验证码英文叫做"CAPTCHA"，是"CompletelyAutomatedPublicTuringtesttotellComputersandHumansApart"的缩写，翻译过来是"全自动区分计算机和人类的图灵测试"。

从名称可以看出，验证码本质就是一种图灵测试，主要为了区分在电脑前的是人还是机器人（程序）。21世纪初互联网兴起，大家发现除了能在网上看到各种新奇的消息外，还回收到非常多"来者不善"的垃圾信息，当时最出名的就是垃圾邮件。有居心不良者通过程序，利用当时邮件注册要求不高（无需验证实名、电话号码等）的漏洞，7x24小时无休止地注册大量账号、不断发送垃圾邮件，为当时的上网冲浪选手带来了极大困扰。

这时，卡内基梅隆大学教授路易斯·冯·安（LuisvonAhn）察觉到程序很难像人一样识别歪歪扭扭的英文单词、数字，如果为注册邮箱、发送邮件设置门槛，要求必须根据歪曲的字符或数字来输入正确的答案，这就成为了最早的验证码，这也是CAPTCHA公司的由来。

这时路易斯·冯·安想出了另一个天才主意。当时正值书籍、报刊需要大量扫描电子化的时代，但报刊所使用的英文艺术字，对电脑程序、扫描仪来说简直是鬼画符，根本看不懂。路易斯·冯·安就将验证码系统上毫无意义的英文字母，换成了海量从书籍报刊上扫描的、难以识别的英文单词，让用户帮忙识别。

为此，代表着全新策略、全新业务的reCAPTCHA诞生了。

这是一个功德无量的决定。2007年推出之初，reCAPTCHA每天都能帮助录入3000万个字符。2008年，这个数字飙升到了6000万个。在媒体量子位的报道中，现在全世界每天都有2亿个字符通过reCAPTCHA录入，相当于人类15万小时的工作量。

路易斯在接受媒体TheHustle采访时这样评价reCAPTCHA："我创造了一个系统，以十秒为单位，数百万小时为增量，来利用世界上最宝贵的资源：人的大脑。"

迄今为止，reCAPTCHA已经录入了从1851年至今的所有《纽约时报》，共计1300万篇文章。除《纽约时报》外，reCAPTCHA还数字化了超过2500万本书，而全球的图书数量约为1.3亿本。

验证码和AI的不解之缘

reCAPTCHA的成功经验启发了谷歌，萌生了利用验证码去完成另一个庞大任务的念头。2009年，Google以大约2780万美元的价格收购了reCAPTCHA，2012年开始，谷歌陆续将自家街景中拍到的门牌、路牌、红绿灯、自行车、公共汽车等加入到验证码中让用户根据指令选择正确的答案，背后的目的是让用户对程序难以识别的图像进行标注，提高AI的识别能力。

在第一轮验证中，验证码系统已经知道正确答案了，如果你能做对，系统就知道你是真人。之后验证码系统会放出第二、第三组图片，里面可能会包含一些AI还没有识别出来需要标注的图。如果10个真人用户都在同一个问题中选择了同样答案，那么谷歌就会为这张图片标注。

在每天调用千万次、过亿用户的训练下，谷歌AI的识别率显著提高，运用了谷歌AI技术的无人驾驶汽车Waymo，已经在自动驾驶领域处于遥遥领先的地位，被称作是世界上最可能最先到L5级别（完全自动驾驶）的公司。

谷歌更是毫不忌讳地在reCAPTCHA官网上谷歌白纸黑字写明了，他们在利用验证码系统集用户之力标注数据、训练AI。

图源：reCAPTCHA官网

谷歌也没有一直"白嫖"用户的打算。目前reCAPTCHA已经将大部分网站的验证码升级为体验更好的无感验证。技术原理是验证系统会利用AI追踪分析用户的鼠标键盘的轨迹，结合分析浏览器数据，来综合判定用户是不是机器人。这时我们就不用再费尽心力去辨别眼花缭乱的图像或者歪歪扭扭的文字，只需要点击一下"我不是机器人"，系统就能为你正名。用户们帮谷歌训练了那么久的AI，终于得到AI的反哺了。

新时代，验证码上的AI怎么玩？

不过reCAPTCHA的"我不是机器人"验证码目前还是独家专属，没有和reCAPTCHA合作的平台、公司，只能继续使用传统"选择正确图片"的图片验证码或"移动滑条"的验证码。

其中在图片的验证码中使用的图片资源有限，更重要的是一些灰产同样可以通过人工标记打码的方式，协助黑客程序进行穷举，如果验证码图片库更新不够快、数量不够多，就容易被撞库。

因此，进入了AI新时代后，AIGC技术在验证码系统上更有妙用。当前AIGC每天就可以根据不同的提示词生产超过43万张可用于验证码系统的图片，还可以做到每张都不完全一样，能大幅提高软件破解验证码的难度。

另外基础的图片选择验证码，实际上可以视为一个目标检测的问题，对于机器视觉来说并不困难。但若改为给定一句文字描述，"找出九宫格中符合该描述的图片"，就可以将目标检测升级为语义匹配，对于机器而言，难度提升了多个数量级。

现在有了AIGC就意味着有无限的素材去搭配无限的问题，相比过去采用街景、实拍图像作为图像素材的做法成本更低效率更高，也无需担心侵权问题，日后也许会成为语义匹配验证码的主流。

无论是reCAPTCHA的"我不是机器人"验证码，还是基于AIGC的语义匹配验证码，AI的加入为提高验证码的安全性、易用性体验作出了不可磨灭的贡献。今天能在众多网站安全快速地注册、浏览，邮箱和站内私信能避免垃圾信息的轰炸，他们居功至伟。

另一方面，从公司层面，效仿谷歌借助验证码系统的ToC特性，请海量用户们为AIGC内容做内容标注，也是诱人的选择。

毕竟从现实角度来考虑，常规方式训练AI、做数据标注实在太费钱了。

当前做数据标注主要分为机标和人标两种，机标是指机器学习算法对数据进行标注。这种方法的优点是速度快、成本低，缺点是标注结果准确度较低。而人标则是由名为AI训练师或数据标注师的工作人员对数据进行标注，部分人还会参与调整Prompt。这种标注方式的优点是标注结果准确度高，但耗时耗力，成本较高。

有媒体指出，人标的成本经历了一轮下降后，依然接近数据量的十分之一，如果需要处理1000万级别的数据，就可能需要100万元的人力、租金、设备成本。如果将AIGC生成的图片放到验证码上让用户进行标注，不仅能得到高准确度的标注结果，省下的人标成本还会是一笔可观的数字。

只不过"让用户帮忙训练AI"这件事也得有限度。像谷歌这样让用户成为免费劳动力，已经惹怒了部分人，他们认为谷歌让几百万人帮他们干活，然后不花一分钱是不合适的；其他公司如果也有意借用验证码系统来让用户无偿劳动，最好关注一下用户对此的感受和接受程度。

进入AI新时代，享受着AI发展带来的方便和红利，同时肩负着AI带来威胁和隐形成本，是用户和大公司都需要面对的选择题。

参考资料

1.人机识别技术再升级，AIGC为验证码带来万亿种新变化阿里云

2.验证码大战AI：神仙打架，我们遭殃，验证码还能变简单吗？柴知道

3.每识别一次验证码，你可能都被割了一次韭菜？差评

4.你以为自己在填验证码，其实你是在给Google义务劳动量子位

5.41岁的天才数学教授，创造了"验证码"和"多邻国"，身家7亿美元36氪