Otkriće ETH Zürich čini reCAPTCHA v2 zastarjelom

Otkriće istraživača s ETH Zürich moglo bi iz temelja promijeniti online sigurnost. Njihov tim je uspješno razvio sustav umjetne inteligencije koji besprijekorno rješava Googleove reCAPTCHA v2 zagonetke. Može li pomoći reCAPTCHA v3?

Ivan Podnar petak, 27. rujna 2024. u 12:22

Tim predvođen Andreasom Plesnerom, Tobiasom Vontobelom i Rogerom Wattenhoferom prilagodio je You Only Look Once (YOLO) model obrade slika za suočavanje s Googleovim široko korištenim reCAPTCHA sustavom. Njihov AI model postigao je stopostotnu uspješnost u rješavanju reCAPTCHA v2 zagonetki. Prethodni pokušaji bili su u rangu 68-71% točnosti, pa bi se ovo s pravom moglo nazvati revolucionarnim znanstvenim otkrićem, pogubnim za reCAPTCHA v2 sustav.

Model treniran na 14.000 označenih slika

Istraživači su svoj AI model temeljito pripremili koristeći približno 14.000 označenih slika. Usredotočili su se na 13 kategorija objekata koji se uobičajeno pojavljuju u reCAPTCHA v2 izazovima, uključujući semafore, bicikle i pješačke prijelaze. Ovo pripremno treniranje omogućilo je da jezični model klasificira, segmentira i naposljetku prepozna ključne upite. Zanimljivo je da AI sustav ne mora biti savršen iz prvog pokušaja. Slično ljudskim korisnicima, može iskoristiti višestruke pokušaje koje nudi reCAPTCHA v2. Ako ne uspije s prvim setom slika, uspješno prolazi sljedeće zagonetke, vjerno oponašajući kako reagiraju korisnici.

Dalekosežne implikacije za online sigurnost

Ovaj tehnološki napredak mogao bi imati dalekosežne posljedice. reCAPTCHA sustavi dugo su predstavljali prvu liniju obrane protiv automatiziranih botova, štiteći web stranice od neželjene pošte, stvaranja lažnih računa i drugih zlonamjernih aktivnosti. Sposobnost AI-a da dosljedno zaobilazi ove sigurnosne mjere mogla bi potencijalno izložiti web stranice ogromnom riziku od automatiziranih napada.

Može li pomoći reCAPTCHA v3?

Možda ima nade da nije Googleov sustav za odbacivanje jer su ljetos predstavili novu inačicu, reCAPTCHA v3, koja funkcionira bez izravne interakcije korisnika. Umjesto toga, ona procjenjuje je li korisnik čovjek na temelju njegovog ponašanja na web stranici, napuštajući pristup temeljen na izazovima sa slikama. Više o razlikama između reCAPTCHA v2 i reCAPTCHA v3 u tablici.

Istraživanje tima s ETH Zürich jasno pokazuje da se nalazimo usred intenzivne utrke između sigurnosnih mjera i sve naprednijih AI sposobnosti. S daljnjim napretkom AI-a, postaje očito da tradicionalne metode otkrivanja botova više neće biti dostatne.


reCAPTCHA v3 značajno se razlikuje od reCAPTCHA v2 u pogledu sigurnosnog pristupa i korisničkog iskustva

Interakcija korisnika
reCAPTCHA v2 zahtijeva izravnu interakciju korisnika, obično kroz klikanje na potvrdni okvir ili izazove s slikama/zvukom.
reCAPTCHA v3 radi nevidljivo u pozadini bez ikakve korisničke interakcije.
 
Sustav bodovanja
reCAPTCHA v2 koristi sustav prolaz/pad temeljen na odgovorima korisnika na izazove.
reCAPTCHA v3 koristi sustav bodovanja (od 0,0 do 1,0) za procjenu vjerojatnosti da je korisnik čovjek ili bot na temelju njegovog ponašanja.
 
Mehanizam izazova
reCAPTCHA v2 predstavlja izazove sa slikama ili zvukom kada se otkrije sumnjiva aktivnost.
reCAPTCHA v3 ne koristi izazove, već se oslanja na kontinuiranu analizu ponašanja.
 
Prilagodba
reCAPTCHA v2 nudi ograničene mogućnosti prilagodbe.
reCAPTCHA v3 omogućuje vlasnicima web stranica postavljanje prilagođenih pragova i akcija na temelju procjene rizika.
 
Prikupljanje podataka
reCAPTCHA v3 prikuplja opsežnije podatke o ponašanju za svoje procjene, što može izazvati zabrinutost za privatnost.
 
Lažno pozitivni/negativni rezultati
reCAPTCHA v2 može frustrirati legitimne korisnike izazovima
reCAPTCHA v3 može potencijalno pogrešno klasificirati korisnike, što dovodi do lažno pozitivnih ili negativnih rezultata ovisno o postavkama praga.
 
Složenost implementacije
reCAPTCHA v2 je općenito jednostavnija za implementaciju.
reCAPTCHA v3 zahtijeva složeniju integraciju i kontinuirano upravljanje pragovima rizika.