Yapay zeka kullanan araştırmacılar, bir kullanıcının insan olup olmadığını belirleyerek botları web sitelerinden uzak tutmak için tasarlanan en yaygın kullanılan CAPTCHA güvenlik sistemlerinden birini kırdı.
İsviçre merkezli ETH Zürih Üniversitesi’nden yapay zeka araştırmacıları, gelişmiş makine öğrenmesi yöntemlerini kullanarak Google’ın popüler reCAPTCHAv2 ürünü tarafından oluşturulan captcha’ların %100’ünü, insan kullanıcılarla aynı sayıda deneme yaparak çözdüler.
Yazarlar , yapay zeka araştırmalarının 13 Eylül’de yayınlanan sonuçlarında, “mevcut yapay zeka teknolojilerinin görüntü tabanlı captcha’ları istismar edebileceğini” gösterdiğini yazdı.
Johns Hopkins Bilgi Güvenliği Enstitüsü’nde bilgisayar bilimi doçenti olan Matthew Green, “Bu bir süredir geliyordu,” dedi. “Captcha’ların tüm fikri, insanların bu bulmacaları çözmede bilgisayarlardan daha iyi olduğuydu. Bunun doğru olmadığını öğreniyoruz.”
CAPTCHA, bilgisayarları ve insanları birbirinden ayırmak için tasarlanmış Tamamen Otomatik Kamu Turing Testi anlamına gelir. Yeni çalışmada kullanılan sistem, Google’ın reCAPTCHA v2, kullanıcıları trafik ışıkları ve yaya geçitleri gibi nesneler içeren görseller seçmelerini isteyerek test eder.
İsviçreli araştırmacıların reCAPTCHAv2’yi yenmek için kullandıkları süreç tam otomatik olmasa da ve insan müdahalesi gerektirse de, CAPTCHA sistemlerini atlatmak için tam otomatik bir süreç çok yakın olabilir.
Büyük bir devlet kuruluşunun siber güvenlik operasyonları merkezi lideri ve New York Üniversitesi’nde yardımcı doçent olan Phillip Mak, Decrypt’e “Yakın gelecekte böyle bir şeyin ortaya çıkmasına şaşırmam” dedi .
Botların captcha’ları çözme konusundaki yeteneklerinin artmasına yanıt olarak, 2018 yılında üçüncü nesil reCAPTCHA ürününü piyasaya süren Google gibi şirketler, ürünlerinin karmaşıklığını sürekli olarak artırıyor.
Forrester Baş Analisti Sandy Carielli, “Botlar sürekli olarak daha akıllı hale geliyor,” dedi. “Birkaç hafta önce işe yarayan şey bugün işe yaramayabilir.”
“En iyi oyuncular sürekli olarak evrim geçiriyorlar çünkü bunu yapmak zorundalar,” dedi. “Evrim, tespit modellerinde ve sadece botları engellemek için değil, aynı zamanda botların başka yerlere gitmesini çok pahalı hale getirmek için doğru yanıtları ortaya koymakta.”
Ancak, botların çözmesi daha zor olan zorlukların ortaya çıkarılması, bulmacalara ek bir karmaşıklık katmanı eklenmesi riskini taşıyor ve bu da insanlar için daha elverişsiz hale gelebiliyor.
CAPTCHA’nın bir güvenlik teknolojisi olarak geleceği belirsizliğini korurken, Kaliforniya Üniversitesi Irvine’de bilgisayar bilimi profesörü olan Gene Tsudik de dahil olmak üzere bazıları daha kötümser.
Tsudik, “reCAPTCHA ve onun türevleri ortadan kalkmalı,” dedi. “Hâlâ iyi olan veya en azından daha iyi olan, ancak önemli ölçüde olmayan başka teknikler de var. Yani bu hâlâ bir silahlanma yarışı olacak.”
Green, siber güvenlik firmaları yeni çözümler üretemezse CAPTCHA’nın ortadan kalkması durumunda, internet paydaşlarının geniş bir kesimi için ciddi sonuçlar doğabileceğini söyledi.
Green, “Kullanıcılarının %50’sinin gerçek olup olmadığını bilmiyorlarsa, reklam verenler ve hizmetleri işleten kişiler için bu büyük bir sorundur,” dedi. “Dolandırıcılık, bunu yapmak için insanları işe almanız gerektiğinde büyük bir sorundu ve şimdi yapay zekanın sizin için dolandırıcılığı yapmasını sağlayabildiğinizde daha da kötü bir sorun.”
