Ny forskning viser, at bots faktisk er langt bedre til at løse CAPTCHA-gåder end mennesker, hvilket står i diametral modsætning til CAPTCHA’ernes formål.
I adskillige år har websites og andre tjenester på nettet stillet os et underforstået spørgsmål, der virker lidt dumt: ”Er du en robot?” De relaterede verificeringsmekanismer går lige fra at sætte et hak i en boks for at skrive under på at man skam er helt menneskelig, til ufrivillige gættelege, hvor man skal enten skal fortolke en bogstavkombination eller klikke på billeder.
Disse CAPTCHA-mekanismer har skullet sikre, at websiten eller tjenesten ikke f.eks. kommer under et DDOS-angreb, hvor hele netværk af bots sender forespørgsler til siden, og den derfor går ned. I andre tilfælde er det hacker-implementerede bots, der for eksempel foretager ’brute force’-angreb på password-felter, som der sikres imod.
Men det var jo nok kun et spørgsmål om tid, før kampen mellem bots og CAPTCHA’er blev afgjort med robotterne som vindere. Det kan man på en måde sige netop er sket, i hvert fald på laboratorieniveau.
Forskeren Gene Tsudik og hans hold af PhD-studerende på University of California-campus’et i Irvine syd for Los Angeles har netop fremlagt af konklusionerne fra et projekt, hvor de satte 1400 mennesker til at løse 14.000 CAPTCHA’er og derefter sammenlignede resultatet med, hvor gode bots rent faktisk er til at løse de samme CAPTCHA’er. Det skete på USENIX-sikkerhedskonferencen, der slutter idag.
Forsvinder næppe lige med det samme
Det viste sig, at robotterne er endog meget bedre til at løse CAPTCHA’er, end mennesker er. Hvor de 1400 mennesker kunne løse CAPTCHA’erne med en præcision, der varierede fra 50 til 84 procent, kunne robotterne gøre det samme med 99,8 procents præcision.
Med andre ord er der altså en langt større sandsynlighed for, at en robot kan løse en given CAPTCHA end et menneske kan. Og det strider direkte imod CAPTCHA’ernes formål og truer deres eksistensgrundlag.
CAPTCHA står nemlig ”Completely Automated Public Turing test to tell Computers and Humans Apart”. Eller det var i hvert fald det som et andet IT-forskerhold endte med at kalde disse tests, da de første gang beskrev fænomenet i 2003.
Hele idéen med CAPTCHA’er er altså at kunne skelne robotter fra mennesker, fordi mennesker er bedre til at løse præcis den slags gåder, CAPTCHA’erne præsenterer. Men det er bare ikke længere tilfældet ifølge Gene Tsudiks forskning.
Vi skal dog næppe forvente, at CAPTCHA’erne forsvinder lige med det samme. De er nemlig også en god forretning for bl.a. Google, der ejer reCAPTCHA, der som oftest står bag de der CAPTCHA’er, hvor man skal klikke på billeder. CAPTCHA’er er samtidig en kilde til data og træning af AI’er. Når du klikker på et billede, bekræfter du AI’ens gæt på, hvad billedet indeholder, og leverer dermed også billig arbejdskraft til Google.