在当今这样一个大数据时代，很多人的生活几乎都和网络息息相关，而在使用网络时大家也会经常遇到“输入验证码”这样一个必须的环节。事实上，在最近十年，验证码已经成为大部分网站和应用程序必备的安全机制之一。然而，目前普遍采用的诸如字符扭曲、混淆背景等方式的复杂文本验证码机制，真的安全可靠吗？日前，来自中国西北大学的房鼎益、陈晓江教授团队与北京大学和英国兰卡斯特大学研究团队在多年研究的基础上，给出了让人惊讶的答案：这种文本验证码存在巨大的安全漏洞，并不安全和可靠。目前，该团队已经基于这个问题开始深度研究，希望能利用人工智能技术合成更为安全的验证码来抵御外来攻击。 

目前普遍采用的诸如字符扭曲、混淆背景等方式的复杂文本验证码。（受访者供图）

全球前50网站验证码被轻易破解 

据介绍，当前普遍采用的验证码方式，虽然过程繁琐，但是验证码却起着相当重要的作用。它们的目的是使后台系统验证登录者身份，即登录者是真正的“人”而不是“计算机程序”，从而避免由于恶意登录而导致的密码泄露、刷票、作弊等现象。因而，各大网站和社交平台都挖空心思，设计了很多独特的验证码。然而，这些看似安全的验证码，在研究团队的面前却显得异常脆弱，巨大的安全漏洞让整个安全防范措施不堪一击。 

西北大学与北京大学、英国兰卡斯特大学研究团队，基于最新的人工智能技术建立了一套新型验证码求解器。该验证码求解器能够以更高精度、更快时间、更低攻击成本破解现有方法无法破解的复杂验证码。实验表明，仅利用500个目标验证码优化求解器，便可使求解器在0.05秒之内攻破验证码，该方法可以攻破全球排名前 50 网站使用的所有文本验证码（截至 2018年 4 月）。这些网站包括大家熟悉的诸如谷歌、eBay、微软、维基百科、淘宝、百度、腾讯、搜狐和京东等网站。而在验证码的识别率上，该项研究比2017年发表在Science上的研究成果平均高出20%。在某些类型的验证码上，该求解器甚至取得了比人工更高的识别率。研究表明，这是一个巨大的安全漏洞。 

人工智能技术或将终结文本验证码时代 

该研究成果具有重要的科学价值和较大的应用前景，引发全球学术界的关注，研究成果发表在刚刚举办的国际信息安全顶级会议ACM CCS (25th ACM Conference onComputer and Communications Security)上，同时亦获得了最佳论文提名，这也是中国内地在今年CCS上唯一一篇入围最佳论文提名的文章。 

论文第一作者、西北大学信息科学与技术学院在读博士叶贵鑫表示，该项技术不仅可以应用到文本验证码的攻击上，还可应用到其它基于图像的攻击场景中。目前，团队正致力于利用人工智能技术合成更为安全的验证码来抵御此类攻击。西北大学信息科学与技术学院副教授汤战勇亦指出，通过该项研究，希望可以提高业界对文本验证码安全性的重视和关注。近年来在人工智能技术取得重大突破这一背景下，文本验证码的安全性已变得非常脆弱。因此，亟需考虑使用新型的验证码方案。 

据悉，西北大学研究团队正在利用人工智能技术，通过一系列技术改造，开发出既能适合大部分网友易于操作，又能抵御验证码轻易被破解的攻击。目前研究进展顺利，或许在不久的将来，文本验证码的时代就会被彻底终结。