折磨全球上亿人的“电子酷刑”:验证码,榨干最后一丝耐心
没想到,人类快被小小验证码折腾得怀疑人生了。
你有没有过这样的经历:着急登录APP,却迟迟收不到验证码;好不容易收到了,刚输完就提示“验证码已过期”;
更倒霉的是,有时候验证码还会被手机管家当成垃圾短信拦截,翻半天才能找到。
换成人脸识别,对着屏幕调整了N次角度,张嘴、眨眼、摇头、点头...像智障一样一顿操作之后,却等来了一句:
“刷脸失败次数过多,请明日再试。”
这不是你一个人的噩梦。
每天,全球几亿人都在重复类似的操作:登录社交账号要验证,打开软件验证,就连出停车场都得输入验证码,证明“自己不是机器人”。
有数据统计,全体人类每天约耗费50万小时在输验证码上,而一个人80岁的人生总时长也不过约70万小时。
无数人把时间和脑细胞都耗在了这场“人机考试”里。
这个原本为了保护网络安全而生的小工具,如今早已变成了折磨人的“数字酷刑”。
最近巨头谷歌更是被曝出,从验证码收集到的数据中获得的价值更是近8980亿美元。
最糟心的是,当初为了区分人类和机器设计的验证码,现在却把人类逼得抓耳挠腮,而真正的机器反而能轻松破解。
这场持续了25年的人机攻防战,到底是怎么走到今天这步田地的?
被逼疯的验证码,到底是怎么诞生的?
验证码到底有多烦人?
如果只是看到验证码的窗口弹出就开始火冒三丈,那你就气早了——验证码考验大家的离谱形式,只有真正通过的人才有发言权。
无数中国网民,都对曾被12306网站验证码支配的恐惧记忆犹新。
因为如果想顺利买到火车票,抢票页面的“余票充足”并不能代表能买到,只有在付款前的验证码环节顺利通关,才算成功一半。
故事的起点,其实是一场“正义的反击”。
2000年,正是互联网刚进入普及阶段,雅虎邮箱正被垃圾邮件疯狂侵袭——每天收到的垃圾邮件占比高达90%,正常邮件被淹没,用户怨声载道。
当时还在读博的路易斯·冯·安,被这个问题难住了:怎么才能拦住机器发送的垃圾邮件,同时让真人顺利通行?
一番琢磨后,他想到了一个简单粗暴的办法:利用“机器做不到,人类能轻松完成”的事情来设限。
当时的AI连扭曲的字符都认不出来,而人类凭借视觉识别能力,稍微费点劲就能分辨。于是,第一代验证码应运而生:把几个字母数字扭曲变形,再加上些干扰线,让用户识别输入。
这就是验证码(CAPTCHA)的雏形,翻译过来就是“全自动区分计算机和人类的图灵测试”。
核心逻辑是利用机器的短板,测试人类的优势。
刚开始,这套系统效果拔群——就像小区门口的看门大爷,虽然视力不好,但总能分清熟人和陌生人,垃圾邮件被成功拦截,互联网世界暂时恢复了清净。
路易斯·冯·安或许当时还颇为得意,觉得自己发明了一个一劳永逸的安全方案。
但他没料到,自己无意间开启了一场永无止境的验证码大赛。
AI在不断进化,验证码只能被迫跟着升级,一步步从“小考验”变成了“大折磨”。
2014年,AI识别扭曲字符的准确率已经达到了98%以上,原本的字符验证码形同虚设。更夸张的是,人类识别一个字符验证码平均需要15.3秒,而机器人只需要0.9秒,效率碾压人类。
互联网世界再次面临安全危机。
为了应对危机,验证码开始了第一次“变身”。谷歌推出的reCAPTCHA V2,把字符换成了“点击所有包含人行道的图片”“选择所有交通信号灯”这类图像识别任务;
国内的极验验证则推出了滑块拼图,让用户拖动滑块补全图像。
这些新玩法的核心逻辑没变,还是“考人类能做而机器不能做的事”,但难度已经悄悄升级,可AI的进化速度远超预期。
现在,滑块轨迹模仿对AI来说都成了小儿科,人类还没对准,AI滑动的又快又准。
安全防线一次次被突破,验证码只能一次次加码。从简单的图像识别到复杂的场景判断,从单滑块到多滑块,从静态验证到动态验证,难度一路飙升。
这些为了防AI设计的升级,最终都变成了对人类的“酷刑”。
全体人类每天要耗费50万小时在输验证码上,而一个人80岁的人生总时长也不过70万小时——也就是说,我们每个人这辈子,都要花超过大半年的时间在这些毫无意义的验证上。
从做题到强制人脸识别,处处刁难人类
如果说早期的验证码是“小测验”,那现在的验证码已经变成了“高考难度的综合卷”:
从视觉、智力到生理特征,全方位刁难人类。
最常见的折磨,来自那些“反人类”的图像识别。
有人想去视频网站上看视频,结果视频还没看,倒是先来了20次验证码考验:《所有的柯基》、《一片秋天的草原》、《一条繁忙街道上的粉色房子》,点击之后要么提示“漏选”,要么提示“多选”。
比模糊图像更离谱的,是各种“智商测试”式的验证码。
有人遇到的验证码竟然是“52×82”“84×36”这样的两位数乘法题,心算根本算不出来;还有的就更抽象了。
使用某些视频软件,需要控制滑块完成拼图,或者按顺序点击图片中汉字;使用某些搜索引擎,甚至需要辨别一组图片中哪些包含楼梯、红绿灯、斑马线、自行车……
更绝的是,有些验证码更是不满足只考你的眼力,还要测一下你的智商。
不仅要懂点文学典故,读过四大名著。末了,还要附带让你算一道数学题。这种验证本质上是在筛选“有常识的人”,而不是“人类”。
到了手机上,短信验证码又带来了新的麻烦。
有数据显示,短信验证码的接收失败率高达5%,这意味着每20个用户里,就有1个会因为收不到验证码而卡壳。
而最让人无法接受的,是越来越多的“强制人脸识别”。
现在打开很多APP,尤其是金融、政务类APP,登录、转账、改密码时,都必须进行人脸识别。有些APP的人脸识别还要求“眨眼、转头、张嘴”,稍有不合规就验证失败。
就像12306的奇葩验证码,当年之所以被设计出来,就是因为旧的验证体系被抢票软件攻破,铁路部门没有更好的办法,只能用“难住人类”的方式来防机器。
可这种“以牺牲用户体验为代价的安全”,本质上是在本末倒置——互联网产品的核心是服务用户,而不是给用户制造麻烦。
更让人无奈的是,验证码的刁难还带有“年龄歧视”。对于老年人来说,扭曲的字符、模糊的图像、复杂的操作,都是难以逾越的障碍。
有调查显示,超过60%的老年人都遇到过验证码相关的困难,有些老人甚至因为不会操作验证码,无法使用网上挂号、手机支付等基础服务。
更要命的是,这些验证的失败率高得离谱——2024年的一项研究显示,只有35%的用户能一次性顺利通过验证码,46%的用户会在多次失败后直接放弃使用网站。
这场为了区分人机的测试,最终先把人类给筛掉了。
区分计算机和人类,难道只有一条路?
当你一边心里暗暗吐槽,一边按指令输入验证码时,还有一件事正在发生。
人类在验证码上耗费的时间,还成了AI进化的免费燃料。
在谷歌浏览器上经常出现街景验证码:需要人类选中所给图片上的房屋、小轿车或路牌等的验证码。
这些图片大多来自于谷歌街景,其中的一部分图片人工智能已经识别出来,但剩下就需要人类帮助训练AI,让AI能像人眼一样准确地识别路况信息。
谷歌在2009年以2780万美元收购了路易斯·冯·安的reCAPTCHA项目后,有研究人员估算,之后的13年里,用户在谷歌验证码上总共消耗了8.19亿小时,按美国联邦最低工资计算,相当于谷歌省下了至少61亿美元的工资。
如今,在大家的“辛勤喂养”之下,谷歌旗下的无人驾驶汽车公司,已经在自动驾驶领域处于遥遥领先的地位,登上2025年最佳发明榜单。
我们以为自己在通过 考试 ,殊不知自己只是免费的 “ 打工人 ” 。
当验证码把人类逼得走投无路时,很多人开始思考:区分计算机和人类,真的只能用“考试”这种方式吗?
答案显然是否定的。随着技术的发展,越来越多的替代方案出现。
最成熟的替代方案,是“无感验证”。比如通过分析用户的行为数据来判断身份——比如鼠标移动轨迹、页面滚动速度、点击位置分布等。
系统会给每个用户打一个0到1.0的分数,分数越高,说明是人类的概率越大;如果分数过低,才会触发进一步的验证。
无感验证的用户体验堪称完美,但也存在争议,它需要收集用户的行为数据,这涉及到隐私问题。
但也有用户担心:“我在网上的每一个动作都被监控,这和被跟踪有什么区别?”
另一种更便捷的方案,是一键免密登录。用户只需要点击“一键登录”,授权后就能完成验证,全程不需要输入任何验证码。
这种方式解决了短信验证码的所有痛点:不需要等待接收,不会被拦截,也不会过期。现在很多社交、电商、出行类APP都已经采用了这种方案。
一键免密登录不仅方便用户,对企业来说也有好处。它的资费比短信验证码低15%到20%,能帮企业节省运营成本。
这些替代方案的出现,证明了区分人机不一定需要考试。
它们的核心逻辑不是“考用户”,而是“用技术手段主动识别”,把麻烦留给企业和技术。
回望验证码的25年发展史,其实是一部“人机博弈史”。从最初的字符验证到现在的人脸识别,验证码的每一次升级,都是被AI逼出来的。
可这场博弈到最后,却变成了对人类的“折磨”——我们发明了AI,又为了防AI,把自己变成了被考验的对象。
希望未来的某一天,我们能彻底和那些折磨人的验证码说再见。
图片来源于网络,侵权请联系删除
本文来自微信公众号 “金错刀”(ID:ijincuodao),作者:张一弛,36氪经授权发布。
