CAPTCHA už nás už před roboty neochrání, tvrdí odborník

CAPTCHA už nás už před roboty neochrání, tvrdí odborník

Zdroj obrázku: MontriUaroon / Depositphotos

Technologie se vyvíjejí mílovými kroky a odvětví, jako je prodej vstupenek online, toho využívají stejně tak, jako tím trpí. Jednou z výzev, kterým čelí, je například neustálý boj s automatizovanými roboty, kteří hromadí vstupenky za účelem dalšího prodeje.


Problémem je, že řešení, které bylo v minulosti široce přijato – používání CAPTCHA – zřejmě ztratilo svou účinnost. Alespoň to tvrdí Raphael Michel, tvůrce open source systému pro prodej vstupenek pretix, který bez obalu prohlašuje, že CAPTCHA již neposkytuje smysluplnou ochranu proti botům.

Vzestup botů a pád CAPTCHA

Problém je dobře známý: u mnoha událostí poptávka výrazně převyšuje nabídku vstupenek. Tato situace je živnou půdou pro překupníky, jednotlivce nebo skupiny, kteří pomocí botů hromadně nakupují vstupenky a pak je přeprodávají za přemrštěné ceny.

A to, co by mnozí navrhovali jako „ideální“ ekonomické řešení – zvyšování cen vstupenek, dokud se nedosáhne rovnováhy na trhu – většina organizátorů odmítá z etických důvodů.

Související článek

GPT-5: Malý krok vpřed, ale za vysokou cenu
GPT-5: Malý krok vpřed, ale za vysokou cenu

OpenAI představila u své nové verze GPT pouze drobné zlepšení, a mnozí odborníci tak ve svých analýzách vyjadřují skepsi o budoucnosti odvětví AI.

Obvyklým řešením jsou technické prostředky: CAPTCHA. Tyto testy se snaží odlišit lidi od strojů tím, že vyžadují plnění úkolů, které jsou pro lidi jednoduché, ale pro počítače obtížné. S nedávným pokrokem v oblasti umělé inteligence však tato hodnocení obtížnosti přestávají platit.

Už neexistují žádné úlohy, které by lidé řešili lépe než stroje

Zpočátku byly CAPTCHA založeny na rozpoznávání zkresleného textu, později se přesunuly na identifikaci obrázků (například známé obrázky s motorkami, semafory nebo mosty) a sluchové úlohy.

Dnes bohužel mnoho modelů umělé inteligence snadno projde všemi těmito testy a jakýkoli pokus o jejich ztížení zvyšuje obtížnost i pro člověka, čímž se stávají nepoužitelnými nebo nedostupnými.

Kromě toho nutnost přístupnosti – v Evropě povinná díky zákonům, jako je Evropský zákon o přístupnosti – dále omezuje možné varianty CAPTCHA, protože musí nabízet alternativy pro uživatele se zrakovým nebo sluchovým postižením.

Pokud je umělá inteligence problémem, může být také řešením?

Dodavatelé bezpečnostních řešení se obrátili ke sledování chování pomocí modelů strojového učení. Řešení, jako je reCAPTCHA v3, analyzují více údajů o uživateli – pohyby myši, historii prohlížení, míru kliknutí atd. a odhadují, zda je uživatel člověk, nebo bot. Tento přístup má dva hlavní problémy:

  1. Ochrana soukromí: Vyžaduje shromažďování obrovských objemů osobních údajů, často na více webových stránkách. To vyvolává etické a právní obavy.
  2. Falešně pozitivní výsledky: Chyba systému může zablokovat celé skupiny legitimních uživatelů, například ty, kteří používají asistenční technologie nebo navštěvují web poprvé. V kontextech s vysokou poptávkou, jako je prodej vstupenek, není prostor pro manuální kontroly: buď se vstupenka prodá, nebo se příležitost ztratí.

Když se boti chovají jako lidé

Ani technické signály, jako jsou rozdíly v časech načítání nebo provádění JavaScriptu, již nejsou užitečné. Moderní boti používají skutečné, kódem řízené prohlížeče způsobem, který je téměř k nerozeznání od člověka – nebo alespoň od uživatele, který se spoléhá na čtečku obrazovky. Tenká hranice mezi nimi znemožňuje používat určité metriky, aniž by došlo k neúmyslnému vyloučení legitimních uživatelů.

Další alternativou jsou schémata proof of work, která nutí počítač uživatele řešit výpočetně náročný problém. To jistě zdražuje masové používání botů, ale v kontextu prodeje vstupenek je to neefektivní: zisková marže z dalšího prodeje více než ospravedlňuje výpočetní náklady. Navíc je tato metoda neetická z ekologického hlediska, protože plýtvá energií na provádění zbytečných úloh.

I kdyby existovaly nové formy účinných CAPTCHA, vždy budou existovat řešení, jako jsou služby kombinující umělou inteligenci s nízko placenými lidskými pracovníky, které je budou řešit ve velkém měřítku a s nízkými náklady. Existují specializované společnosti, které řeší CAPTCHA průmyslovou rychlostí, což podkopává užitečnost jakýchkoli překážek.

Co tedy funguje

Pro Michela zbývá jen málo skutečně užitečných nástrojů:

  1. Silná personalizace vstupenek: jejich propojení s ověřenými jmény a průkazy totožnosti může zabránit dalšímu prodeji, i když může ztížit nákup skupinám nebo párům, které ještě nevědí, kdo se akce zúčastní.
  2. Omezení těžko zfalšovatelnými zdroji: Omezte například počet vstupenek podle telefonního čísla, kreditní karty nebo bankovního účtu. To nezastaví všechny záškodníky, ale zdraží to proces a odradí od rozsáhlých podvodů.

Věta BAP: nemožný trojúhelník

Michel navrhuje analogii se slavným teorémem CAP pro databáze. Ve svém „teorému BAP“ uvádí, že v systému ochrany botů není možné mít všechny tři vlastnosti současně:

  • B: odolnost vůči botům
  • A: přístupnost
  • P: respektování soukromí

Je možné zvolit pouze dvě z nich:

  • BA: Odolnost a dostupnost, ale ne respektování soukromí (vyžaduje silnou identifikaci uživatele).
  • BP: Odolný a respektující soukromí, ale nepřístupný (může vyloučit osoby se zdravotním postižením).
  • AP: Přístupný a soukromý, ale zranitelný vůči botům.

Závěr je jasný a znepokojivý: organizátoři si musí vybrat mezi ochranou před boty a respektováním soukromí svých uživatelů. Současná technologická řešení neumožňují obojí, přinejmenším v tak konkurenčním a lukrativním prostředí, jako je prodej vstupenek.

Zdroje článku

behind.pretix.eu
#