หากใช้เวลาอยู่บนอินเทอร์เน็ต สิ่งที่หลายคนน่าจะคุ้นเคยกันดีคือเจ้ากล่องเช็คบ็อกซ์ ‘I’m not a robot’ ที่ต้องคลิกเพื่อเข้าถึงบางเว็บไซต์
หลายคนคิดว่าเป็นเพียงการยืนยันง่ายๆ แต่แท้จริงแล้ว ระบบที่อยู่เบื้องหลังนั้นซับซ้อนกว่าที่คิด
มันง่ายซะจนรู้สึกว่า แล้วทำไมหุ่นยนต์หรือบอตจะไม่สามารถคลิกปุ่มนี้ให้ผ่านได้กันนะ?
คำตอบสั้นคือๆ ไม่ใช่เพราะพวกมัน ‘คลิกไม่เป็น’ แต่เป็นเพราะระบบตรวจสอบที่อยู่เบื้องหลังกำลังจับตามอง ‘วิธี’ การคลิกตรงนี้อยู่ต่างหาก
วันนี้ The MATTER เลยจะพาทุกคนไปรู้จักเจ้าสิ่งที่เรียกว่า CAPTCHA และ reCAPTCHA กัน เพื่อให้เรารู้จักว่ามันคืออะไร ทำงานยังไง บอตเคยเอาชนะมันได้หรือเปล่า และอนาคตจะเปลี่ยนไปยังไงในเมื่อ AI กำลังฉลาดขึ้นทุกวัน?
จุดเริ่มต้นของ CAPTCHA และวิวัฒนาการของ reCAPTCHA
CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) ถูกคิดค้นขึ้นในช่วงต้นทศวรรษ 2000 โดยทีมวิจัยจากมหาวิทยาลัย Carnegie Mellon นำโดย Luis von Ahn บุคคลที่ต่อมามีบทบาทสำคัญในการพัฒนาเทคโนโลยี reCAPTCHA และแอปพลิเคชั่นเรียนรู้ภาษาอย่าง Duolingo
จุดประสงค์หลักของ CAPTCHA และ reCAPTCHA คือ การป้องกันบอตจากการทำกิจกรรมอัตโนมัติ เช่น การสมัครบัญชีปลอมจำนวนมาก การส่งสแปม หรือการใช้บอตปั่นโหวต
เวอร์ชั่นแรกสุดของ CAPTCHA ใช้ ภาพตัวอักษรบิดเบี้ยว ที่มนุษย์สามารถอ่านได้ แต่คอมพิวเตอร์ในยุคนั้นยังไม่สามารถประมวลผลได้แม่นยำ เนื่องจากเทคโนโลยี Computer Vision และ OCR (Optical Character Recognition) ยังไม่ได้พัฒนาไปไกล
อย่างไรก็ตาม เมื่อเวลาผ่านไป AI และ OCR เริ่มสามารถถอดรหัสตัวอักษรที่บิดเบี้ยวเหล่านี้ได้อย่างแม่นยำขึ้น ทำให้ CAPTCHA เวอร์ชันเก่าเริ่มมีจุดอ่อน
ในปี 2009 Google ได้เข้าซื้อกิจการ reCAPTCHA หรือก็คือ CAPTCHA ในเวอร์ชั่นใหม่ที่ไม่เพียงแต่ช่วยป้องกันบอต แต่ยังใช้พลังของมนุษย์ในการช่วย ถอดรหัสเอกสารเก่าที่ OCR อ่านไม่ออก
หลายคนอาจไม่รู้ว่า ทุกครั้งที่เรากรอก CAPTCHA เรากำลังช่วย Google แปลงหนังสือเก่าให้กลายเป็นข้อมูลดิจิทัลไปในตัวด้วย การที่มนุษย์สามารถอ่านตัวอักษรที่บิดเบี้ยวและขาดหายได้แม่นยำกว่าคอมพิวเตอร์ ถูกนำมาใช้เป็นกลไกช่วยให้ OCR ฉลาดขึ้น
เมื่อถึงปี 2014 Google พบว่า AI สามารถถอดรหัสตัวอักษรบิดเบี้ยวได้ถึง 99.8% CAPTCHA แบบเก่าเริ่มไร้ประสิทธิภาพ Google จึงเปลี่ยนแนวทางใหม่และเปิดตัว reCAPTCHA v2 หรือที่เรียกว่า No CAPTCHA reCAPTCHA ซึ่งแทนที่การพิมพ์ข้อความด้วยการตรวจสอบ พฤติกรรมของผู้ใช้ เช่น วิธีการเคลื่อนที่ของเมาส์ ความเร็วในการคลิก และลักษณะการเคลื่อนไหว หากระบบแน่ใจว่าเป็นมนุษย์ก็สามารถผ่านไปได้เลยโดยไม่ต้องทำอะไรเพิ่มเติม (I’m not a robot ก็อยู่ในเวอร์ชั่นนี้ด้วย)
และต่อมา Google ได้พัฒนา reCAPTCHA v3 ซึ่งก้าวไปอีกขั้นโดยไม่มีปุ่มให้คลิกเลย ระบบนี้ทำงานอยู่เบื้องหลังและใช้ AI วิเคราะห์พฤติกรรมของผู้ใช้ เช่น การเลื่อนหน้าเว็บ การกดแป้นพิมพ์ และประวัติการใช้งาน หากระบบมั่นใจว่าผู้ใช้เป็นมนุษย์ ผู้ใช้จะสามารถเข้าถึงเว็บไซต์ได้ทันทีโดยไม่ต้องทำอะไร
เบื้องหลังปุ่ม ‘I’m not a robot’
ปุ่ม ‘I’m not a robot’ (ซึ่งอยู่ใน reCAPTCHA v2) ไม่ได้ตรวจสอบแค่ว่าคุณ ‘คลิก’ ปุ่มหรือไม่ แต่จะดูว่า ‘คลิกอย่างไร’ ด้วย
มนุษย์มีพฤติกรรมเมาส์ที่ซับซ้อน เช่น การเคลื่อนที่แบบไม่เป็นเส้นตรง หรือการหยุดคิดเล็กน้อยก่อนคลิก ในขณะที่บอตมักจะเคลื่อนเมาส์เป็นเส้นตรงและคลิกอย่างรวดเร็วผิดธรรมชาติ
ดูเหมือนจะเป็นเพียงการคลิกง่ายๆ แต่แท้จริงแล้ว การคลิกนี้เป็นเพียงส่วนเล็กๆ ของการทดสอบที่ซับซ้อนกว่าที่อยู่เบื้องหลัง
เมื่อคุณคลิกที่ปุ่ม ระบบจะเริ่มตรวจสอบข้อมูลต่างๆ ในเสี้ยววินาที เช่น
- เส้นทางการเคลื่อนที่ของเมาส์ – มนุษย์มักมีการขยับเมาส์แบบไม่เป็นเส้นตรง ในขณะที่บอตมักจะเคลื่อนที่เป็นเส้นตรงและเร็วผิดปกติ
- ความเร็วในการคลิก – มนุษย์อาจใช้เวลาพิจารณาเล็กน้อยก่อนคลิก ในขณะที่บอตมักจะคลิกได้เร็วเกินไป
- ข้อมูลเบราว์เซอร์และประวัติการใช้งาน – reCAPTCHA จะตรวจสอบว่าคุณมีประวัติการใช้งานที่ดูเป็นมนุษย์หรือไม่ เช่น การมีคุกกี้จากเว็บไซต์ที่เคยเข้าชม
หากระบบสงสัยว่าคุณเป็นบอต จะมีแบบทดสอบเพิ่มเติม เช่น การเลือกภาพตามโจทย์ เช่น ให้คลิกภาพที่มีสัญญาณไฟจราจรหรือรถยนต์ ซึ่งมนุษย์สามารถทำได้ง่าย แต่ AI ในอดีตยังมีปัญหากับภาพที่เบลอหรือมุมมองที่ซับซ้อนอยู่
นอกจากนี้ Google ยังพัฒนา Invisible reCAPTCHA ที่ทำงานอยู่เบื้องหลังโดยไม่ต้องให้ผู้ใช้ทำอะไรเลย ระบบจะใช้คุกกี้และข้อมูลเซสชั่นเว็บเพื่อตรวจสอบว่าผู้ใช้งานเว็บไซต์มีประวัติที่น่าเชื่อถือหรือไม่ ระบบจะให้คะแนนความเสี่ยงตั้งแต่ 0.0 ถึง 1.0 ถ้าคะแนนใกล้ 1.0 หมายความว่าผู้ใช้มีโอกาสเป็นมนุษย์สูง และสามารถเข้าถึงเว็บไซต์ได้ทันที
บอตเคยเอาชนะ reCAPTCHA ได้หรือไม่?
ถึงแม้ว่า CAPTCHA จะได้รับการออกแบบมาเพื่อป้องกันบอต แต่ก็มีหลายครั้งที่นักวิจัยพัฒนาวิธีให้ AI เอาชนะมันได้สำเร็จ
- ในปี 2013 บริษัท AI ชื่อ Vicarious อ้างว่าพวกเขาสามารถพัฒนาอัลกอริทึ่มที่ผ่าน CAPTCHA ได้ถึง 90%
- ในปี 2017 นักวิจัยด้านความปลอดภัย พบว่าบอตสามารถใช้ deep learning เพื่อระบุวัตถุในภาพของ reCAPTCHA v2 ได้แม่นยำเกิน 90%
- ในปี 2019 ทีมวิจัยจากมหาวิทยาลัยแมรีแลนด์ พัฒนา ImageBreaker ที่สามารถแก้ CAPTCHA รูปภาพของ Google ได้ในเวลาเพียง 14 วินาที
Google ตอบโต้โดยพัฒนา reCAPTCHA v3 ที่ลดการพึ่งพาแบบทดสอบโดยตรง และหันไปใช้การวิเคราะห์พฤติกรรมเชิงลึกแทน
นอกจากนี้ ยังมีเทคนิคที่แฮกเกอร์ใช้เพื่อเลี่ยง CAPTCHA เช่น การใช้ AI ถอดรหัสเสียงใน Audio CAPTCHA หรือ การจ้างแรงงานมนุษย์ราคาถูกให้แก้ CAPTCHA แทนบอต วิธีเหล่านี้ช่วยให้บอตผ่านการตรวจสอบได้ แต่มีต้นทุนสูงและไม่สามารถทำได้ในระดับสเกลใหญ่ (แต่ก็ไม่ได้หมายความว่าทำไม่ได้)
อนาคตของ CAPTCHA และความท้าทายที่รออยู่
เทคโนโลยี AI กำลังพัฒนาไปอย่างรวดเร็ว จนทำให้ CAPTCHA แบบเดิมอาจไม่เพียงพออีกต่อไป ปัจจุบัน AI สามารถเลียนแบบพฤติกรรมมนุษย์ได้มากขึ้น เช่น การเคลื่อนเมาส์อย่างเป็นธรรมชาติ และสร้างประวัติการใช้งานเบราว์เซอร์ปลอมๆ
Google และบริษัทเทคโนโลยีจึงกำลังพัฒนาแนวทางใหม่ เช่น
- การใช้ AI จับผิดบอตด้วย machine learning แทนการให้มนุษย์แก้โจทย์
- ระบบยืนยันตัวตนผ่านบัญชีผู้ใช้หรืออุปกรณ์ที่เชื่อถือได้
- แนวคิดใหม่อย่าง Turnstile ของ Cloudflare ซึ่งเป็นระบบที่แทบไม่ต้องให้ผู้ใช้ทำอะไรเลย แต่ใช้การวิเคราะห์ข้อมูลจากเบราว์เซอร์แทน
นักวิจัยบางคนคาดว่า CAPTCHA รูปแบบปัจจุบันอาจหายไปภายใน 5-10 ปีข้างหน้า เหตุผลคือยิ่งมีการทดสอบแบบเดิม (เช่นให้แก้ข้อความหรือเลือกรูป) มากเท่าไร บอตก็ยิ่งมีข้อมูลไปฝึกตามมากเท่านั้น ซึ่งที่ผ่านมาเราเห็นแล้วว่าข้อมูลเหล่านั้นช่วยให้ AI เก่งขึ้นจนกลับมาทำลาย CAPTCHA รุ่นเก่าได้ในที่สุด การไม่มีแบบทดสอบตายตัว (เหมือนใน reCAPTCHA v3) แต่ใช้วิธีวิเคราะห์ความประพฤติและบริบทโดยรวมแทน จึงเป็นการ ‘เปลี่ยนสนามรบ’ ที่อาจทำให้บอตตามได้ยากขึ้น
บอต (ยัง) แพ้ เพราะมนุษย์ไม่สมบูรณ์แบบ
ท้ายที่สุดแล้ว เหตุผลที่บอตไม่สามารถ ‘คลิกผ่าน’ ปุ่ม ‘I’m not a robot’ ได้ ไม่ใช่เพราะพวกมันคลิกไม่เป็น แต่เพราะมันคลิก ‘ดีเกินไป’ ต่างหาก ระบบ reCAPTCHA จึงออกแบบมาเพื่อตรวจจับ ‘ความไม่สมบูรณ์แบบ’ ของมนุษย์ ซึ่งเป็นสิ่งที่บอตยังเลียนแบบได้ไม่สมบูรณ์
อย่างไรก็ตาม นี่เป็นเพียงเกมแมวไล่จับหนูที่ไม่มีวันจบสิ้น ชิงไหวชิงพริบกันระหว่าง ‘ผู้คุมประตู’ และ ‘ผู้พยายามผ่านประตู’ แห่งโลกอินเทอร์เน็ต AI กำลังพัฒนาไปอย่างต่อเนื่อง (แถมยังรวดเร็วแบบก้าวกระโดด) และในอนาคต อาจไม่มีวิธีที่แน่ชัดในการแยกมนุษย์ออกจากบอตอีกต่อไป คำถามที่สำคัญกว่าคือ เราจะป้องกันบอตได้อย่างไรโดยไม่กระทบต่อประสบการณ์ของผู้ใช้จริง นี่คือความท้าทายที่ผู้พัฒนา CAPTCHA และระบบความปลอดภัยออนไลน์ต้องเผชิญในทศวรรษข้างหน้า
อ้างอิงจาก
