6月30日消息,科技媒体Neowin于昨日(6月29日)发布博文指出,谷歌正在扩大reCAPTCHA手势验证的应用范围——用户不再仅需点击图片,而是被要求对着摄像头完成挥手或张开手掌等动作。不过实测显示,这一看似先进的新机制,实际上只需一张静态图片就能轻松绕过。

早在6月18日,就有报道指出谷歌正在测试一种全新的reCAPTCHA人机验证系统。该方案不再让用户选择红绿灯或公交车图片,而是要求操作者对着电脑摄像头做一个简单动作——如挥手或张开手掌,以此证明自己是真人而非机器。
到了6月19日,谷歌更新了官方支持文档,详细说明了触发手势验证后的流程:浏览器将请求摄像头权限,系统会提示用户完成一个手势,随后由AI提取21个手部关节坐标,用于验证。文档中有一段原文如下:
启用手势功能后,reCAPTCHA会收集以下数据:
Google会分析用户在执行各种操作或手势时的一段或多段手部视频。系统会处理视频以提取手部地标数据,其中包括21个指关节坐标。
视频绝不会与用户的身份相关联,并且会在验证流程结束后删除。系统绝不会录制音频。
隐私方面,谷歌也作出了承诺:验证流程结束后,不会保留用户手势的任何图片或视频,也不将这些数据用于其他任何目的。挑战完成后,视频或图片会自动删除。听起来很安全,对吧?
但事情并没有这么简单。根据网友@Patrosi73的反馈,这一手势验证其实可以通过静态素材图片绕过——只需将手部素材图片输入OBS Virtual Camera(OBS虚拟摄像头),就能成功通过挑战。Neowin的作者随后亲自复现了这一结果。测试过程中,作者尝试了多次,更换了几张不同的素材图片,最后通过在OBS中调整一张通用挥手人物图片的位置,成功让谷歌将其识别为有效手势。
换句话说,这套看似高端的AI验证系统,目前仍然挡不住一张打印出来的手部照片。谷歌若想依靠它拦住机器人,恐怕还需要再想想办法。
