Przejdź na

CAPTCHA pokonana przez AI. To duże zagrożenie bezpieczeństwa

System zabezpieczeń CAPTCHA został złamany przez sztuczną inteligencję. Jak wykazali badacze z ETH w Zurychu, odpowiednio przygotowany model potrafi tak rozwiązywać "zagadki" bezpieczeństwa, że system nie rozpozna, że uzupełniający nie jest człowiekiem. Problem dotyczy wariantu reCAPTCHAv2.

KlawiaturaKlawiatura
Źródło zdjęć: © Pixabay
Oskar Ziomek
Oskar Ziomek

Odkrycie opisuje Tech Radar, bazując na analizie udostępnionej przez badaczy. W opisywanych przypadkach wykorzystano popularny model AI o nazwie YOLO, który "w imieniu człowieka" rozwiązywał zadania reCAPTCHAv2 - systemu w założeniu mającego skutecznie rozróżniać maszyny od ludzi. Wykorzystywane są tu świetnie znane każdemu "łamigłówki" polegające na wskazywaniu obrazów z konkretną zawartością, na przykład wszystkich, na których widać sygnalizację świetlną czy motocykle.

Dotychczas co do zasady uznawano taki test za skuteczną metodę weryfikowania, czy przy komputerze faktycznie siedzi człowiek, czy też zadanie wykonywane jest przez jakiegoś rodzaju skrypt. Jak jednak pokazują opisywane badania, odpowiednio przygotowany model YOLO (tutaj wytrenowany na podstawie 14 tys. zdjęć ulic) potrafił w praktyce równie skutecznie jak człowiek wskazywać odpowiednie obrazy.

Podstępna CAPTCHA. Nowa metoda wyłudzenia danych
Podstępna CAPTCHA. Nowa metoda wyłudzenia danych

Nawet, gdy zdarzyło mu się popełnić błąd, kolejna próba przy nowej łamigłówce była już skuteczna, a wielokrotne próby są tutaj dopuszczone. Co więcej wskaźnik sukcesu AI nie zmniejszył się także po włączeniu dodatkowych zabezpieczeń w CAPTCHA, takich jak analiza ruchów myszy czy historii przeglądarki "użytkownika". AI okazała się skutecznie naśladować człowieka na tyle, by oszukać system. To rodzi poważne obawy z zakresu bezpieczeństwa.

Dalsza część artykułu pod materiałem wideo

Opracowane badania to istotny sygnał dla administratorów, od których zależą zabezpieczenia w serwisach internetowych. Choć na tę chwilę mówimy niejako o akademickich rozważaniach, nie zmienia to faktu, że technologię można uruchomić w praktyce. Warto więc pochylić się nad zabezpieczeniami stron i rozważyć taką modyfikację systemów, by AI nie była w stanie ich pokonać, choć zważywszy na tempo rozwoju tej ostatniej, może to być nie lada wyzwaniem.

CBZC zatrzymało mężczyzn stojących za oszustwem "powodziowym"
CBZC zatrzymało mężczyzn stojących za oszustwem "powodziowym"

Oskar Ziomek, redaktor prowadzący dobreprogramy.pl

Wybrane dla Ciebie
Komisja Europejska nalega. Chodzi o bezpieczeństwo najmłodszych
Komisja Europejska nalega. Chodzi o bezpieczeństwo najmłodszych
Nie musisz otwierać Photoshopa. Claude zrobi wszystko za ciebie
Nie musisz otwierać Photoshopa. Claude zrobi wszystko za ciebie
Niebezpieczny trend na TikToku. Wykorzystują do niego dzieci
Niebezpieczny trend na TikToku. Wykorzystują do niego dzieci
Aktualizacja Google Home. Sterowanie szybsze o 1,5 sekundy
Aktualizacja Google Home. Sterowanie szybsze o 1,5 sekundy
Oszustwo "na wypadek". Seniorka miała oddać 50 tys. zł
Oszustwo "na wypadek". Seniorka miała oddać 50 tys. zł
Komunikat mBanku. Dotyczy wszystkich klientów
Komunikat mBanku. Dotyczy wszystkich klientów
Rejestracja auta w mObywatelu. Wiadomo, od kiedy będzie możliwa
Rejestracja auta w mObywatelu. Wiadomo, od kiedy będzie możliwa
Podejrzewasz wyciek danych? Wykorzystaj mObywatela
Podejrzewasz wyciek danych? Wykorzystaj mObywatela
SMS Blastery w autach. Jak działa atak?
SMS Blastery w autach. Jak działa atak?
Yanosik komentuje raport Policji. Co jest przyczyną wypadków?
Yanosik komentuje raport Policji. Co jest przyczyną wypadków?
CERT Orange: AI napędza fałszywe sklepy w sieci
CERT Orange: AI napędza fałszywe sklepy w sieci
Ta aplikacja zmieniła świat. Obchodzi 20. urodziny
Ta aplikacja zmieniła świat. Obchodzi 20. urodziny
NIE WYCHODŹ JESZCZE! MAMY COŚ SPECJALNIE DLA CIEBIE