Umelá inteligencia údajne dokáže obísť testy reCAPTCHA. No je to naozaj tak?

CAPTCHA sú testy, ktoré používajú webové stránky na boj proti robotom, pričom žiadajú návštevníkov, aby preukázali, že sú ľudia. Najčastejšie používaný je systém reCAPTCHA spoločnosti Google, ktorý spočiatku žiadal návštevníkov webových stránok, aby preukázali, že sú ľudia, kontrolou slov naskenovaných z kníh alebo fotografií dopravných značiek. Neskôr bol nahradený behaviorálnou analýzou, čo si vyžadovalo, aby ľudia jednoducho označili políčko „Nie som robot“. Takéto systémy však boli už dávnejšie hacknuté.

No koncom minulého roka Google predstavil systém reCAPTCHA bez CAPTCHA po tom, čo výskumníci z Číny a Lancaster Univerzity publikovali dokument o generatívnych kontroverzných sieťach riešiacich CAPTCHA. Dostupná zvuková verzia bola dokonca zameraná na nástroje meniace reč na text (speech-to-text) a po vypočutí zvukových klipov zadala odpoveď. Nová, tretia verzia reCAPTCHA nepoužíva zdeformovaný text či dopravné značky ani zaškrtávanie políčka, ale analyzuje celú škálu signálov, čo dáva skóre medzi nulou a jednotkou. Nižšie skóre znamená väčšiu pravdepodobnosť, že ide o robot, vyššie skóre zasa označuje pravdepodobnejšie človeka.

Pritom hodnotenie sa deje úplne v pozadí, bez ľudskej interakcie. Google nevysvetlil, ako sa získava skóre robot – nie robot, čo nie je veľmi prekvapujúce, pretože hackeri by mohli tieto informácie zneužiť. No zdá sa, že sa pri tom využíva prehliadač, IP adresa a prihlásenie na účet Google. Tento systém ešte nebol nabúraný, hoci výskumníci z Torontskej univerzity pod vedením Mohameda Akrouta publikovali článok s názvom Hacking Google reCAPTCHA v3 using Reinforcement Learning. Vedci sa zamerali na napodobňovanie systému pomocou strojového učenia.

Hoci neviditeľný bodovací systém nebol zneužitý, tvrdia, že by sa im podarilo obísť reCAPTCHA v3. V systéme reCAPTCHA v3 si musia webové stránky nastaviť vlastné prahové skóre, od ktorého budú návštevníka považovať za človeka. Ak návštevník nedosiahne stanovenú bodovú hodnotu, webová stránka má dve možnosti, hovorí Akrout. Môže okamžite zobraziť stránku oznamujúcu, že považuje návštevníka za robota, čo je trochu nepríjemné, ak úsudok systému je nesprávny a ide o človeka.

„Je to zlá prax z pohľadu používateľov,“ hovorí Akrout. Veď návštevník by napríklad svoju cestu za online nákupom musel ukončiť na tejto stránke. Väčšina webových lokalít však reaguje na podprahovú hodnotu na stránke „bot-or-not“ zhovievavejšie a podsunie návštevníkovi stránku v staršom štýle so zaškrtávacím políčkom „Nie som robot“, ktoré bolo zavedené v druhej verzii reCAPTCHA. Tá analyzovala správanie návštevníka vrátane pohybov myši.

A práve na to sa výskumníci zamerali a vytvorili automatizovaný systém, ktorý dokáže oklamať túto časť reCAPTCHA. Neorientovali sa teda na neviditeľné skóre verzie 3, ale na analýzu pohybu myši, prvýkrát predstavenú vo verzii 2. Ak je totiž tento systém implementovaný na niektorých webových stránkach, netreba oklamať novší systém. Inými slovami, našli si síce spôsob, ako obísť reCAPTCHA pomocou umelej inteligencie, ale nie je to tak, ako naznačovali.

Akrout a jeho kolegovia teda oklamali jednu časť reCAPTCHA pomocou typu strojového učenia nazývaného reinforcement learning. Pri ňom sa softvérový agent snaží nájsť najlepšiu možnú cestu, pričom je povzbudzovaný prostredníctvom odmien za každý krok správnym smerom. Výskumníci tvrdia, že ich systém pracuje s presnosťou 97,4 %. Odborníci však hovoria, že tím využil len veľmi špecifickú a obmedzenú podmnožinu interakcií, ktoré bude mať používateľ so skutočnou stránkou v praxi. To znamená, že v realite bude takýto útok oveľa zložitejší.

Akrout súhlasí s tým, že útok založený na pohybe myši má svoje limity, ale aj tak odhalí niečo o tom, ako funguje reCAPTCHA v3. No jednoduchšie je prinútiť systém reCAPTCHA, aby zobrazil tlačidlo „Nie som robot“, ak bola táto možnosť na príslušnej webovej stránke predvolene nastavená. Existujú však spôsoby, ako sa Google môže chrániť pred takýmto útokom, ide najmä o sledovanie množstva času, ktorý používateľ potrebuje na kliknutie na tlačidlo. „Agent potrebuje viac času ako ľudia, aby klikol na zaškrtávacie políčko,“ poznamenal Akrout.

Profesor Shujun Li, odborník na kybernetickú bezpečnosť z University of Kent, hovorí, že takýto útok by sa dal zdokonaliť zhromažďovaním reakcií reálnych ľudských používateľov na reCAPTCHA a vytvorením modelu strojového učenia na simuláciu takýchto reakcií. No existuje aj veľa iných spôsobov, ako prelomiť tieto systémy, poznamenáva Li. Aj keď tento konkrétny útok môže byť obmedzený, reCAPTCHA skôr či neskôr padne za obeť systémom s umelou inteligenciou.

„Nedávne pokroky v oblasti umelej inteligencie výrazne zlepšili úspešnosť automatizovaných útokov,“ dodal Li. „Technológia CAPTCHA sa v zásade ukázala ako neschopná odolávať pokročilým útokom.“ V tomto konkrétnom výskume sa síce nepodarilo prelomiť reCAPTCHA v3, ale je to len začiatok.

Zdroj: wired.co.uk.