加州大学欧文分校2023年的一项研究《茫然与困惑:关于reCAPTCHAv2的大规模真实用户研究》得出结论,验证码不仅在实际阻止机器人流量方面效果不佳,还通过追踪cookie引发隐私问题,浪费了我们大家总计数十亿小时的时间,并且为谷歌生成了价值近万亿美元的数据。谷歌早在2009年就收购了广泛使用的reCAPTCHA工具。
该研究聚焦于通过谷歌reCAPTCHAv2在现实中最常见的两种验证码形式:“隐形”或基于行为的验证码,当你勾选“我不是机器人”框时,甚至在你浏览网站时,它会暗中分析你的输入;还有基于图像的验证码,你需要从谷歌街景获取的图片中选择所有摩托车、交通信号灯之类的内容。这两种验证码对谷歌都很有价值,前者生成的追踪cookie可能有助于广告定向投放,而后者的数据则可用于谷歌内部的人工智能模型训练,或者出售给其他公司。
这项实验并未告知实验对象,而是将谷歌的reCAPTCHAv2添加到该大学内部学生账户系统的账户创建和密码找回功能中,研究人员既测量完成验证码所需的时间,又对这项为期13个月的研究中的3600名用户进行抽样调查,了解他们的体验。不出所料,当涉及到更复杂的图像识别验证码时,用户花费的时间更多,反馈也多为负面。该研究还指出,完成时间会因学科、经验水平以及是创建账户还是找回账户而有所不同。
研究人员算出图像和行为验证码的平均完成时间为3.53秒,并将其与2010年至2023年间互联网上完成的5120亿个reCAPTCHAv1和v2验证码的低端估计数相乘,得出了以下关于验证码对我们生活影响的估算结果:
- 花费8.19亿小时来完成验证码。
- 按美国联邦最低工资标准计算,这些时间价值61亿美元。
- 消耗134PB的互联网带宽。
- 耗费750万千瓦时的能源。
- 产生750万磅的二氧化碳污染。
这是我补充的:将8.19亿小时与人类平均寿命79年相比,相当于耗费了1182.7个人的一生来完成验证码。
将这项新研究中人类完成验证码的时间和准确率与机器人进行对比,同时参考以往关于自动化程序破解验证码能力不断提高的研究,研究人员得出结论,如今机器人完成reCAPTCHAv2复选框的速度比人类快,而在图像识别方面,虽然机器人花费的时间更多,但准确率更高。研究人员还认为,追踪cookie实际上带来了新的安全和隐私风险。研究人员根据谷歌公布的已标注图像识别数据集合的价值,以及单个追踪cookie的终身价值乘以估算的2010年至2023年间完成的reCAPTCHAv2总量,得出了以下对谷歌来说的价值估算:
- 其完整的reCAPTCHAv2数据集价值87.5亿 - 323亿美元,理论上该数据集可多次出售给不同的供应商。
- 2010年至2023年间reCAPTCHAv2产生的所有追踪cookie的终身价值为8880亿美元。
研究人员在研究的最后部分指出:“可以得出结论,reCAPTCHAv2的真正目的是作为一个伪装成安全服务的追踪cookie生成场来盈利。”他们认为,由于reCAPTCHA对互联网安全或功能并无实际贡献,应该逐步淘汰。然而,这项研究过去两年了,短期内仍没有淘汰的迹象。
