بالنسبة لأي شخص يتصفح الإنترنت منذ فترة، فإن اختبارات CAPTCHA تشكل عقبة مألوفة. تم تصميم هذه التحديات القائمة على الصور - والتي تتطلب من المستخدمين تحديد أشياء مثل الدراجات أو إشارات المرور أو ممرات المشاة - للتمييز بين المستخدمين البشريين والروبوتات الآلية. لسنوات، كانت اختبارات CAPTCHA هذه بمثابة بوابات لمنع الروبوتات الضارة من الوصول إلى مواقع الويب. ومع ذلك، تشير الأبحاث الجديدة إلى أن هذه الطبقة من الحماية قد تصبح قديمة قريبًا، حيث أصبحت أنظمة الذكاء الاصطناعي المتقدمة قادرة الآن على اختراق هذه الاختبارات بسهولة.
طورت مجموعة من الباحثين، بقيادة طالب الدكتوراه في المعهد الفيدرالي السويسري للتكنولوجيا في زيورخ أندرياس بليسنر، روبوتًا قادرًا على تحقيق معدل نجاح 100% في حل اختبار reCAPTCHA v2 من Google، وهو أحد المتغيرات الشائعة للاختبار الذي لا يزال يستخدمه ملايين المواقع الإلكترونية في جميع أنحاء العالم. يمثل البحث، الذي نُشر كنسخة أولية، تطورًا مهمًا في المعركة المستمرة بين البشر والروبوتات، مما يسلط الضوء على التطور المتزايد لأنظمة الذكاء الاصطناعي في التغلب على العقبات التي تركز على الإنسان.
تطور reCAPTCHA
يُطلب من المستخدمين تحديد كائنات معينة داخل شبكة من صور الشوارع، مثل الدراجات أو السلالم أو إشارات المرور، من خلال نظام reCAPTCHA v2 من Google، والذي تم تقديمه لأول مرة في عام 2014. وقد تم تصميم النظام لتسهيل مرور البشر، مع إحباط الروبوتات التي تقوم بمهام تتطلب الإدراك البصري والحكم. وعلى الرغم من التخلص التدريجي منه لصالح reCAPTCHA v3 "غير المرئي" - والذي يراقب سلوك المستخدم بدلاً من تقديم التحديات - إلا أن reCAPTCHA v2 لا يزال مستخدمًا على نطاق واسع، وخاصة كحل بديل عندما تكافح v3 لتعيين تصنيف "بشري" واثق للمستخدم.
لسنوات عديدة، كان reCAPTCHA v2 يعتبر أحد أكثر الطرق موثوقية لمنع الروبوتات من الوصول إلى مواقع الويب. ومع ذلك، فإن أحدث النتائج التي توصل إليها بليسنر وزملاؤه تشكك في هذا الافتراض.
كسر رمز CAPTCHA: كيف يعمل روبوت الذكاء الاصطناعي
يكمن مفتاح اختراق reCAPTCHA v2 في استخدام نموذج التعرف على الأشياء YOLO (You Only Look Once)، وهي أداة مفتوحة المصدر قوية معروفة بقدرتها على التعرف على الأشياء في الوقت الفعلي. من خلال ضبط نموذج YOLO وتدريبه على 14000 صورة مرورية مُسمَّاة، تمكن الباحثون من إنشاء نظام يمكنه مطابقة الأداء البشري في التعرف على الصور من فئات الأشياء الثلاثة عشر في reCAPTCHA v2. يمكن لهذا النموذج التعرف على أشياء مثل صنابير إطفاء الحرائق والدراجات وإشارات المرور بدقة شبه مثالية، محققًا معدل نجاح 100% في بعض الفئات.
وللتغلب على اختبارات CAPTCHA الأكثر تعقيدًا من "النوع 2"، حيث يُطلب من المستخدمين تحديد أجزاء من صورة، استخدم الباحثون نموذج YOLO ثانٍ مُدرَّب مسبقًا. ورغم أن هذا النموذج واجه صعوبة في التعامل مع بعض الفئات، إلا أنه تمكن مع ذلك من تحقيق أداء جيد بما يكفي لطلب صورة جديدة عندما واجه أحد الكائنات الأكثر تحديًا.
ولكن التعرف على الصور وحده لم يكن كافيا. فقد نفذ الباحثون أيضا سلسلة من التدابير الأخرى لضمان قدرة الروبوت على خداع نظام CAPTCHA بأكمله. وشملت هذه التدابير استخدام شبكة خاصة افتراضية لإخفاء المحاولات المتكررة من نفس عنوان IP، ومحاكاة حركات الماوس الواقعية لتقليد السلوك البشري، واستخدام بيانات مزيفة للمتصفح وملفات تعريف الارتباط من جلسات تصفح الويب الفعلية.
ومن خلال الجمع بين هذه التكتيكات ونموذج YOLO، تمكن الروبوت من حل تحديات reCAPTCHA v2 باستمرار - وفي بعض الأحيان بكفاءة أكبر من المستخدم البشري.
التأثيرات على أمن CAPTCHA
يكشف البحث أن سباق التسلح بين الروبوتات وأنظمة CAPTCHA قد دخل مرحلة جديدة. فحتى وقت قريب، لم تتمكن الروبوتات من تحقيق معدلات نجاح تزيد عن 68% إلى 71% عند محاولة حل تحديات reCAPTCHA. والآن، ومع ظهور نماذج التعرف على الصور الأكثر تقدمًا، ارتفعت معدلات النجاح هذه إلى 100% لبعض فئات الكائنات.
وتشير نتائج الدراسة إلى أن اختبارات CAPTCHA التقليدية، مثل reCAPTCHA v2، قد لا تكون كافية لإبقاء الروبوتات بعيدة. ويثير هذا التطور مخاوف كبيرة بشأن مستقبل أمن الويب، وخاصة بالنسبة لمواقع الويب التي تعتمد على اختبارات CAPTCHA كدفاع أساسي ضد الروبوتات. ومع تزايد قدرة الذكاء الاصطناعي على أداء المهام التي كانت في السابق حكراً على البشر، تستمر الفجوة بين المستخدمين البشر والأنظمة الآلية في الضيق.
"بمعنى ما، يمثل اختبار CAPTCHA الجيد الحد الفاصل بين أكثر الآلات ذكاءً وأقل البشر ذكاءً"، يكتب المؤلفون في ورقتهم البحثية. "مع اقتراب نماذج التعلم الآلي من القدرات البشرية، أصبح العثور على اختبارات CAPTCHA جيدة أكثر صعوبة".
التحول نحو رموز التحقق المرئية (CAPTCHA) والتحديات المستقبلية
ولمعالجة هذه التهديدات المتطورة، حولت جوجل بالفعل قدرًا كبيرًا من تركيزها إلى reCAPTCHA v3، الذي يراقب سلوك المستخدم بدلاً من الاعتماد على التحديات الصريحة. ويهدف هذا النظام إلى تحديد الروبوتات استنادًا إلى أنماط دقيقة، مثل كيفية تحريك المستخدمين للفأرة أو التفاعل مع صفحة الويب. وأكد متحدث باسم Google Cloud على هذا التحول، قائلاً: "نحن نركز بشكل كبير على مساعدة عملائنا على حماية مستخدميهم دون إظهار تحديات بصرية".
ومع ذلك، لا تزال ملايين المواقع الإلكترونية تستخدم reCAPTCHA v2 كحل بديل، مما يعني أنها تظل عرضة للهجمات التي تعتمد على الذكاء الاصطناعي والتي وصفها بحث بليسنر. وفي حين تعمل جوجل باستمرار على تحسين reCAPTCHA لتحسين حمايتها، فإن السباق بين مطوري الذكاء الاصطناعي وفرق الأمن السيبراني لم ينته بعد.
ومع تحسن قدرة نماذج التعلم الآلي على محاكاة السلوك البشري، أصبحت مهمة فصل البشر عن الروبوتات أكثر تعقيدا. ولا شك أن المعركة من أجل تطوير أنظمة CAPTCHA أكثر تطورا ــ أنظمة قادرة على التفوق على أكثر أنظمة الذكاء الاصطناعي تقدما ــ سوف تستمر. ولكن في الوقت الحالي، يبدو أن الذكاء الاصطناعي له اليد العليا في هذه اللعبة المستمرة بين القط والفأر.
مستقبل التحقق البشري
إن هذا البحث يشير إلى تحول كبير في طريقة تفكيرنا فيما يتعلق بأمن الويب والتحقق من صحة المستخدم. ومع قدرة أنظمة الذكاء الاصطناعي الآن على التفوق على البشر في حل رموز التحقق، فسوف يحتاج مطورو الويب وخبراء الأمن السيبراني إلى استكشاف أساليب جديدة لضمان أن الشخص الموجود على الجانب الآخر من الشاشة هو في الواقع إنسان. وما زال من غير الواضح ما إذا كان ذلك يتضمن تحليلات سلوكية أكثر تقدمًا، أو قياسات حيوية، أو حلول مبتكرة أخرى.
هناك أمر واحد واضح: إن أيام CAPTCHA التقليدية أصبحت معدودة. ومع استمرار تطور تكنولوجيا الذكاء الاصطناعي، فلابد أن تتطور أيضًا الأساليب التي نستخدمها لحماية مساحاتنا على الإنترنت من الروبوتات الضارة.