CAPTCHA: historia testu, który pokonał boty i zdigitalizował świat

Czym jest CAPTCHA i skąd pochodzi ta nazwa?

Skrót CAPTCHA oznacza Completely Automated Public Turing test to tell Computers and Humans Apart – w wolnym tłumaczeniu: całkowicie automatyczny publiczny test Turinga odróżniający komputery od ludzi. Już sama nazwa to mały majstersztyk – nawiązuje do słynnego testu Turinga zaproponowanego przez Alana Turinga w 1950 roku, który miał sprawdzać, czy maszyna potrafi zachowywać się jak człowiek. CAPTCHA odwraca ten pomysł: to teraz komputer sprawdza, czy po drugiej stronie siedzi człowiek.

Koncepcja powstała na przełomie lat 90. i 2000. w Carnegie Mellon University w Pittsburghu. Czterech badaczy – Luis von Ahn, Manuel Blum, Nicholas Hopper i John Langford – opublikowało w 2003 roku formalną definicję i nazwę CAPTCHA. Prawdziwą siłą napędową projektu był jednak von Ahn, urodzony w Gwatemali badacz, który miał zostać jednym z najbardziej pomysłowych umysłów w historii internetu – a kilka lat później założy też Duolingo.

Problem, który mieli rozwiązać, był bardzo praktyczny: spamboty zalewały fora internetowe, tworzyły fałszywe konta i nadużywały darmowych serwisów. Potrzebny był prosty test, który człowiek rozwiąże bez trudu, a automat – nie.

Jak działała pierwsza CAPTCHA – i dlaczego akurat zniekształcony tekst?

Pomysł był elegancki w swojej prostocie: wyświetl użytkownikowi obraz ze zniekształconymi literami i cyframi, których ówczesne systemy OCR (Optical Character Recognition) nie potrafiły odczytać. Człowiek bez trudu rozpoznaje taki tekst – mózg uzupełnia brakujące elementy, ignoruje zakłócenia i skupia się na sensie. Program komputerowy z lat 2000. – nie.

Pierwsze implementacje pojawiły się bardzo szybko. Yahoo! użyło podobnego mechanizmu już w 2000 roku, by chronić rejestrację kont przed botami. Przez kolejne kilka lat tekstowa CAPTCHA stała się standardem w sieci – pojawiała się w formularzach kontaktowych, przy zakładaniu kont, w komentarzach na blogach.

Był jednak pewien problem. Wraz z rozwojem sztucznej inteligencji boty stawały się coraz lepsze w rozpoznawaniu obrazów. Badacze musieli zwiększać stopień zniekształceń, co sprawiało, że test stawał się coraz trudniejszy – nie dla maszyn, ale właśnie dla ludzi. Coraz więcej użytkowników przeklinało pod nosem, wpisując po raz trzeci literę, o której nie byli pewni, czy to wielkie I czy małe l.

reCAPTCHA: jak rozwiązywanie puzzli digitalizowało całe biblioteki

W 2007 roku Luis von Ahn przedstawił projekt, który do dziś uznawany jest za jeden z najgenialniejszych pomysłów w historii internetu. Zamiast generować bezsensowne zniekształcone słowa, nowa wersja – reCAPTCHA – pokazywała użytkownikowi dwa słowa. Jedno było słowem kontrolnym (znane systemowi), drugie zaś pochodziło ze skanów starych książek lub archiwów gazet, których automatyczne systemy OCR nie potrafiły odczytać.

Mechanizm był prosty i błyskotliwy:

• Jeśli użytkownik poprawnie wpisał słowo kontrolne, system uznawał go za człowieka.
• Odpowiedź na drugie słowo trafiała do bazy danych jako kandydat do digitalizacji.
• Gdy kilkudziesięciu niezależnych użytkowników podało tę samą odpowiedź – trafiała ona do zdigitalizowanego tekstu jako pewna.

W ten sposób von Ahn przekształcił 200 milionów codziennych rozwiązań CAPTCHA w ogromną, bezpłatną siłę roboczą. Projekt pomógł zdigitalizować archiwa New York Timesa sięgające 1851 roku oraz miliony woluminów dla projektu Google Books. Von Ahn szacował, że dzięki reCAPTCHA zasoby tekstowe odpowiadające całej Wikipedii mogły być przepisane w zaledwie kilka tygodni – gdyby każdy użytkownik internetu rozwiązał choćby kilka testów.

Google wkracza do gry – i wymyśla CAPTCHA od nowa

W 2009 roku Google przejął reCAPTCHA za kwotę, której nigdy oficjalnie nie ujawniono. Von Ahn dołączył do Google jako doradca, a projekt zyskał nieporównywalnie większy zasięg. reCAPTCHA pojawiła się na setkach tysięcy stron internetowych, stając się de facto standardem branżowym.

Kolejna rewolucja nadeszła w 2014 roku wraz z reCAPTCHA v2 i słynnym polem wyboru: Nie jestem robotem. To pozornie banalne kliknięcie było w rzeczywistości czymś znacznie inteligentniejszym – algorytm analizował w tle zachowanie użytkownika: ruch myszy, historię przeglądania, czas reakcji, wzorce klikania. Dla większości prawdziwych ludzi samo kliknięcie wystarczyło. Boty były kierowane do trudniejszych testów z obrazkami.

W 2018 roku pojawiło się reCAPTCHA v3 – wersja w pełni niewidoczna dla użytkownika. Nie ma tu żadnego kliknięcia ani puzzla. System ciągle monitoruje zachowanie i przypisuje mu wynik ryzyka od 0 do 1. To strona decyduje, jak zareagować na niski wynik – czy zażądać dodatkowej weryfikacji, czy po prostu zablokować dostęp. Dla przeciętnego użytkownika CAPTCHA zniknęła z pola widzenia – choć nadal działa w tle.

Czy sztuczna inteligencja pokonała już CAPTCHA?

Krótka odpowiedź brzmi: tak, w dużej mierze – i to już od pewnego czasu. Systemy oparte na sieciach neuronowych potrafią rozwiązywać klasyczne tekstowe i obrazkowe testy CAPTCHA ze skutecznością przekraczającą 90%, a niekiedy bliską 100%. Badacze z Google Brain pokazali już w 2018 roku, że algorytm uczenia głębokiego radził sobie z tekstową CAPTCHA lepiej niż człowiek.

To jednak nie oznacza, że CAPTCHA jest bezużyteczna. Współczesne systemy, takie jak reCAPTCHA v3 czy Cloudflare Turnstile, opierają się nie na łamigłówkach, ale na analizie behawioralnej – wzorach zachowań, które są znacznie trudniejsze do sfałszowania niż rozpoznawanie obrazków. Trwa klasyczny wyścig zbrojeń: im lepsze są boty, tym inteligentniejsze muszą być systemy ochrony.

Pojawia się też nowy, nieoczekiwany problem: farmy CAPTCHA. W krajach o niskich zarobkach działają usługi, gdzie ludzie za kilka centów od testu rozwiązują tysiące CAPTCHA na godzinę. Dla poważnych kampanii spamowych koszt jest marginalny. To pokazuje, że żaden mechaniczny test nie zastąpi przemyślanej, wielowarstwowej polityki bezpieczeństwa całej aplikacji.

CAPTCHA w liczbach – skala, która zapiera dech

CAPTCHA to nie niszowy wynalazek – to jeden z najszerzej wdrożonych systemów weryfikacji w historii internetu. Kilka liczb, które pokazują skalę tego zjawiska:

• W szczytowym momencie popularności reCAPTCHA Luis von Ahn szacował, że na całym świecie rozwiązywanych jest ok. 200 milionów CAPTCHA dziennie.
• Średni czas rozwiązania jednego testu to ok. 10 sekund – co łącznie daje ponad 550 000 godzin ludzkiej pracy każdego dnia, poświęconych wyłącznie na wpisywanie liter i klikanie w obrazki.
• Projekt reCAPTCHA pomógł zdigitalizować ponad 13 milionów artykułów z historycznych archiwów New York Timesa.
• W szczytowym momencie projektu Google Books, reCAPTCHA pomagała przepisywać szacunkowo 2,5 miliona słów dziennie.
• Cloudflare Turnstile, jeden z nowszych konkurentów reCAPTCHA, deklaruje że jego rozwiązania nie wymagają od użytkowników rozwiązywania żadnych testów w ponad 99% przypadków.

Historia CAPTCHA to piękny przykład tego, jak pomysłowi inżynierowie potrafią zamienić problem bezpieczeństwa w coś użytecznego dla całej ludzkości – i jak technologia, którą traktujemy jako zwykłą uciążliwość, może kryć za sobą fascynujący pomysł wart miliardy godzin ludzkiej pracy.