在當(dāng)今這樣一個大數(shù)據(jù)時代，很多人的生活幾乎都和網(wǎng)絡(luò)息息相關(guān)，而在使用網(wǎng)絡(luò)時大家也會經(jīng)常遇到“輸入驗證碼”這樣一個必須的環(huán)節(jié)。事實上，在最近十年，驗證碼已經(jīng)成為大部分網(wǎng)站和應(yīng)用程序必備的安全機(jī)制之一。然而，目前普遍采用的諸如字符扭曲、混淆背景等方式的復(fù)雜文本驗證碼機(jī)制，真的安全可靠嗎？日前，來自中國西北大學(xué)的房鼎益、陳曉江教授團(tuán)隊與北京大學(xué)和英國蘭卡斯特大學(xué)研究團(tuán)隊在多年研究的基礎(chǔ)上，給出了讓人驚訝的答案：這種文本驗證碼存在巨大的安全漏洞，并不安全和可靠。目前，該團(tuán)隊已經(jīng)基于這個問題開始深度研究，希望能利用人工智能技術(shù)合成更為安全的驗證碼來抵御外來攻擊。 

目前普遍采用的諸如字符扭曲、混淆背景等方式的復(fù)雜文本驗證碼。（受訪者供圖）

全球前50網(wǎng)站驗證碼被輕易破解 

據(jù)介紹，當(dāng)前普遍采用的驗證碼方式，雖然過程繁瑣，但是驗證碼卻起著相當(dāng)重要的作用。它們的目的是使后臺系統(tǒng)驗證登錄者身份，即登錄者是真正的“人”而不是“計算機(jī)程序”，從而避免由于惡意登錄而導(dǎo)致的密碼泄露、刷票、作弊等現(xiàn)象。因而，各大網(wǎng)站和社交平臺都挖空心思，設(shè)計了很多獨特的驗證碼。然而，這些看似安全的驗證碼，在研究團(tuán)隊的面前卻顯得異常脆弱，巨大的安全漏洞讓整個安全防范措施不堪一擊。 

西北大學(xué)與北京大學(xué)、英國蘭卡斯特大學(xué)研究團(tuán)隊，基于最新的人工智能技術(shù)建立了一套新型驗證碼求解器。該驗證碼求解器能夠以更高精度、更快時間、更低攻擊成本破解現(xiàn)有方法無法破解的復(fù)雜驗證碼。實驗表明，僅利用500個目標(biāo)驗證碼優(yōu)化求解器，便可使求解器在0.05秒之內(nèi)攻破驗證碼，該方法可以攻破全球排名前 50 網(wǎng)站使用的所有文本驗證碼（截至 2018年 4 月）。這些網(wǎng)站包括大家熟悉的諸如谷歌、eBay、微軟、維基百科、淘寶、百度、騰訊、搜狐和京東等網(wǎng)站。而在驗證碼的識別率上，該項研究比2017年發(fā)表在Science上的研究成果平均高出20%。在某些類型的驗證碼上，該求解器甚至取得了比人工更高的識別率。研究表明，這是一個巨大的安全漏洞。 

人工智能技術(shù)或?qū)⒔K結(jié)文本驗證碼時代 

該研究成果具有重要的科學(xué)價值和較大的應(yīng)用前景，引發(fā)全球?qū)W術(shù)界的關(guān)注，研究成果發(fā)表在剛剛舉辦的國際信息安全頂級會議ACM CCS (25th ACM Conference onComputer and Communications Security)上，同時亦獲得了最佳論文提名，這也是中國內(nèi)地在今年CCS上唯一一篇入圍最佳論文提名的文章。 

論文第一作者、西北大學(xué)信息科學(xué)與技術(shù)學(xué)院在讀博士葉貴鑫表示，該項技術(shù)不僅可以應(yīng)用到文本驗證碼的攻擊上，還可應(yīng)用到其它基于圖像的攻擊場景中。目前，團(tuán)隊正致力于利用人工智能技術(shù)合成更為安全的驗證碼來抵御此類攻擊。西北大學(xué)信息科學(xué)與技術(shù)學(xué)院副教授湯戰(zhàn)勇亦指出，通過該項研究，希望可以提高業(yè)界對文本驗證碼安全性的重視和關(guān)注。近年來在人工智能技術(shù)取得重大突破這一背景下，文本驗證碼的安全性已變得非常脆弱。因此，亟需考慮使用新型的驗證碼方案。 

據(jù)悉，西北大學(xué)研究團(tuán)隊正在利用人工智能技術(shù)，通過一系列技術(shù)改造，開發(fā)出既能適合大部分網(wǎng)友易于操作，又能抵御驗證碼輕易被破解的攻擊。目前研究進(jìn)展順利，或許在不久的將來，文本驗證碼的時代就會被徹底終結(jié)。