背景

作为曾经的一枚网站开发人员，为防止机器人或者自动化程序频繁访问或者暴力破解用户信息，就会在用户登录等场景增加验证码。自此以后，验证码与机器人就开始斗智斗勇，验证码开始变得越来越复杂，甚至到了机器能够快速识别，而人反而无法读取的状态，严重违背了验证码的初衷。

reCAPTCHA 2.0

这时reCAPTCHA 2.0出现了，即通过我不是机器人按钮（如图1所示），搜集用户鼠标路径来判断不是机器人的代理点击，其工作原理是通过搜集点击前用户鼠标移动的随机性，判断是人的行为而不是机器人在操作。

reCAPTCHA 3.0

2018年，Google再次升级了reCAPTCHA，在这个被称为V3的版本中，用户已经连【我不是机器人】的复选框也看不到了，系统会在背后悄悄分析用户浏览网站的方式，并根据其行为的恶意程度给出一个风险评分。如果用户评分过低，网站可能会要求用户输入更多的信息来证明自己的身份。

目前，已经有65万个网站使用了最新的reCAPTCHA 3.0，而使用reCAPTCHA的网站超过了450万，包括Top 1000网站中的25%。

在Google看来，这是最好的体验，用户不需要任何输入，而且它很难被破解程序学习。唯一的问题是，Google掌握了越来越多的用户隐私。

据FastCompany报道，两位研究者对reCAPTCHA 3.0 进行了测试后发现，用户是否使用Google Cookies是决定评分的一个重要因素。也就是说，如果用户选择让Google记住登录信息的话，会得到更高的分数，没有登录Google帐号，或者使用VPN或者浏览器通常会被提示高风险。

背后的思考

验证码的本质，是让你证明自己是人，而不是机器。但随着技术越来越发达，ChatGPT等的出现，人的行为不段被学习，识别人的行为的门槛也越来越高。这时候，虽然reCAPTCHA 3.0通过收集人的更多行为信息数据，判断人的行为，是不是就是正确的方向呢？如何实现自动化对人的独特行为的识别仍然是未来的发展方向。如：人的随机性行为、人的不确定性行为，但是如何去刻画和存储这种行为呢？