Cloudflare Turnstile 人机验证功能可以自动化执行验证并减少用户选择图片或点击造成的摩擦,理论上说人机验证功能应该可以拦截 ChatGPT 等智能体 (Agent) 避免出现滥用行为。
不过现在 ChatGPT 智能体已经可以成功绕过 Cloudflare Turnstile 的人机验证,在 Reddit 论坛有网友分享的屏幕截图显示,ChatGPT 智能体在执行任务时碰到验证码,经过思考后智能体认为必须证明不是机器人以便继续操作。
随后智能体自己移动鼠标点击 Cloudflare Turnstile 的复选框成功通过人机验证,全程没有碰到其他阻碍,因此这件事似乎也在证实人机验证机制可能无法拦截人工智能和智能体,开发商需要提升人机验证的识别机制。
当然此前人工智能模型已经可以识别图片验证码并自动填写验证码完成验证,即便是谷歌人机验证机制那逆天的选择图片也可以绕过,因此 ChatGPT 智能体可以绕过 Cloudflare 人机验证也不算新奇。
还有个值得关注的是 Cloudflare Turnstile 验证机制通常会读取浏览器版本、屏幕分辨率、操作系统版本、IP 地址等多种因素进行判断,最后综合这些因素给出访问者是否是机器人的判断结果。
Cloudflare 在 Turnstile 介绍中表示:如果机器人能比我们更快地从颗粒图片中找到所有带有人行道的图片,那机器人也肯定能勾选复选框甚至模仿人类移动鼠标的不规则路径 (是的,Cloudflare 还会通过鼠标轨迹判断是人类还是机器人)。
而 Turnstile 人机验证机制会在用户点击复选框时在后台执行数据,检查的内容包括浏览器特性、原生浏览器 API 并要求通过轻量级测试例如工作量证明或空间证明,以表明这是一个真实的浏览器环境。
现在 ChatGPT 智能体可以轻松绕过 Cloudflare Turnstile 人机验证机制也说明现有的人机验证系统可能已经无法阻挡能力越来越强的机器人,或许后续 Cloudflare 和谷歌都需要升级反机器人策略。
via Reddit r/OpenAI