谷歌的防机器人验证 竟被自家服务骗了

reCAPTCHA项目由卡内基·梅隆大学研发，经常应用于网站的“我不是机器人”验证上。在2009年，谷歌收购了reCAPTCHA，但令人意想不到的是，马里兰大学的研究人员找到了攻破它的方法。他们开发了一种名为“unCaptcha”的系统，据称能够欺骗过reCAPTCHA的验证。有趣的是，这套系统巧妙地利用了谷歌的语音转文本服务，可谓是“以子之矛攻子之盾”。

▲马里兰大学的论文介绍页面截图展示了他们的研究成果。在论文中，“unCaptcha”的工作原理被详细阐述。系统会先下载音频验证码，将音频分割成单个数字音频片段，然后上传到多个语音转文本服务，将返回的结果转化为数字形式。接下来，系统会通过同音词猜测，确定哪个语音转文本的输出最接近准确结果，并将答案提交到CAPTCHA验证上。据称，这种方法的成功率高达85%。

面对这一情况，谷歌自然不会坐视不管。在早先版本的“unCaptcha”发布后，谷歌迅速修复了部分漏洞，优化了浏览器自动检测，并切换到口头短语验证，而不仅仅是通过数字方式进行验证。这些研究人员似乎总能找到新的突破点。他们宣称，更新后的“unCaptcha2”可以绕过谷歌的改进措施，将破解成功率进一步提升到90%。这套系统现在已经发布到了GitHub上。

根据研究人员的说法，谷歌已经了解新系统的情况，并没有对其进行打压。他们在相关页面上的表述显示：“我们已经与ReCaptcha团队联系了几个月，他们完全了解新的攻击方式。尽管这个项目取得了成功，但reCAPTCHA团队仍然允许我们发布代码。”这项研究展示了一种技术上的对决与智力竞赛，引发了公众对于网络安全与技术发展的深入思考。