折磨全球上億人的“電子酷刑”：驗證碼，榨干最后一絲耐心

沒想到，人類快被小小驗證碼折騰得懷疑人生了。

你有沒有過這樣的經歷：著急登錄APP，卻遲遲收不到驗證碼；好不容易收到了，剛輸完就提示“驗證碼已過期”；

更倒霉的是，有時候驗證碼還會被手機管家當成垃圾短信攔截，翻半天才能找到。

換成人臉識別，對著屏幕調整了N次角度，張嘴、眨眼、搖頭、點頭...像智障一樣一頓操作之后，卻等來了一句：

“刷臉失敗次數過多，請明日再試。”

這不是你一個人的噩夢。

每天，全球幾億人都在重復類似的操作：登錄社交賬號要驗證，打開軟件驗證，就連出停車場都得輸入驗證碼，證明“自己不是機器人”。

有數據統計，全體人類每天約耗費50萬小時在輸驗證碼上，而一個人80歲的人生總時長也不過約70萬小時。

無數人把時間和腦細胞都耗在了這場“人機考試”里。

這個原本為了保護網絡安全而生的小工具，如今早已變成了折磨人的“數字酷刑”。

最近巨頭谷歌更是被曝出，從驗證碼收集到的數據中獲得的價值更是近8980億美元。

最糟心的是，當初為了區分人類和機器設計的驗證碼，現在卻把人類逼得抓耳撓腮，而真正的機器反而能輕松破解。

這場持續了25年的人機攻防戰，到底是怎么走到今天這步田地的？

被逼瘋的驗證碼，

到底是怎么誕生的？

驗證碼到底有多煩人？

如果只是看到驗證碼的窗口彈出就開始火冒三丈，那你就氣早了——驗證碼考驗大家的離譜形式，只有真正通過的人才有發言權。

無數中國網民，都對曾被12306網站驗證碼支配的恐懼記憶猶新。

因為如果想順利買到火車票，搶票頁面的“余票充足”并不能代表能買到，只有在付款前的驗證碼環節順利通關，才算成功一半。

故事的起點，其實是一場“正義的反擊”。

2000年，正是互聯網剛進入普及階段，雅虎郵箱正被垃圾郵件瘋狂侵襲——每天收到的垃圾郵件占比高達90%，正常郵件被淹沒，用戶怨聲載道。

當時還在讀博的路易斯·馮·安，被這個問題難住了：怎么才能攔住機器發送的垃圾郵件，同時讓真人順利通行？

一番琢磨后，他想到了一個簡單粗暴的辦法：利用“機器做不到，人類能輕松完成”的事情來設限。

當時的AI連扭曲的字符都認不出來，而人類憑借視覺識別能力，稍微費點勁就能分辨。于是，第一代驗證碼應運而生：把幾個字母數字扭曲變形，再加上些干擾線，讓用戶識別輸入。

這就是驗證碼（CAPTCHA）的雛形，翻譯過來就是“全自動區分計算機和人類的圖靈測試”。

核心邏輯是利用機器的短板，測試人類的優勢。

剛開始，這套系統效果拔群——就像小區門口的看門大爺，雖然視力不好，但總能分清熟人和陌生人，垃圾郵件被成功攔截，互聯網世界暫時恢復了清凈。

路易斯·馮·安或許當時還頗為得意，覺得自己發明了一個一勞永逸的安全方案。

但他沒料到，自己無意間開啟了一場永無止境的驗證碼大賽。

AI在不斷進化，驗證碼只能被迫跟著升級，一步步從“小考驗”變成了“大折磨”。

2014年，AI識別扭曲字符的準確率已經達到了98%以上，原本的字符驗證碼形同虛設。更夸張的是，人類識別一個字符驗證碼平均需要15.3秒，而機器人只需要0.9秒，效率碾壓人類。

互聯網世界再次面臨安全危機。

為了應對危機，驗證碼開始了第一次“變身”。谷歌推出的reCAPTCHA V2，把字符換成了“點擊所有包含人行道的圖片”“選擇所有交通信號燈”這類圖像識別任務；

國內的極驗驗證則推出了滑塊拼圖，讓用戶拖動滑塊補全圖像。

這些新玩法的核心邏輯沒變，還是“考人類能做而機器不能做的事”，但難度已經悄悄升級，可AI的進化速度遠超預期。

現在，滑塊軌跡模仿對AI來說都成了小兒科，人類還沒對準，AI滑動的又快又準。

安全防線一次次被突破，驗證碼只能一次次加碼。從簡單的圖像識別到復雜的場景判斷，從單滑塊到多滑塊，從靜態驗證到動態驗證，難度一路飆升。

這些為了防AI設計的升級，最終都變成了對人類的“酷刑”。

全體人類每天要耗費50萬小時在輸驗證碼上，而一個人80歲的人生總時長也不過70萬小時——也就是說，我們每個人這輩子，都要花超過大半年的時間在這些毫無意義的驗證上。

從做題到強制人臉識別，處處刁難人類

如果說早期的驗證碼是“小測驗”，那現在的驗證碼已經變成了“高考難度的綜合卷”:

從視覺、智力到生理特征，全方位刁難人類。

最常見的折磨，來自那些“反人類”的圖像識別。

有人想去視頻網站上看視頻，結果視頻還沒看，倒是先來了20次驗證碼考驗：《所有的柯基》、《一片秋天的草原》、《一條繁忙街道上的粉色房子》，點擊之后要么提示“漏選”，要么提示“多選”。

比模糊圖像更離譜的，是各種“智商測試”式的驗證碼。

有人遇到的驗證碼竟然是“52×82”“84×36”這樣的兩位數乘法題，心算根本算不出來；還有的就更抽象了。

使用某些視頻軟件，需要控制滑塊完成拼圖，或者按順序點擊圖片中漢字；使用某些搜索引擎，甚至需要辨別一組圖片中哪些包含樓梯、紅綠燈、斑馬線、自行車……

更絕的是，有些驗證碼更是不滿足只考你的眼力，還要測一下你的智商。

不僅要懂點文學典故，讀過四大名著。末了，還要附帶讓你算一道數學題。這種驗證本質上是在篩選“有常識的人”，而不是“人類”。

到了手機上，短信驗證碼又帶來了新的麻煩。

有數據顯示，短信驗證碼的接收失敗率高達5%，這意味著每20個用戶里，就有1個會因為收不到驗證碼而卡殼。

而最讓人無法接受的，是越來越多的“強制人臉識別”。

現在打開很多APP，尤其是金融、政務類APP，登錄、轉賬、改密碼時，都必須進行人臉識別。有些APP的人臉識別還要求“眨眼、轉頭、張嘴”，稍有不合規就驗證失敗。

就像12306的奇葩驗證碼，當年之所以被設計出來，就是因為舊的驗證體系被搶票軟件攻破，鐵路部門沒有更好的辦法，只能用“難住人類”的方式來防機器。

可這種“以犧牲用戶體驗為代價的安全”，本質上是在本末倒置——互聯網產品的核心是服務用戶，而不是給用戶制造麻煩。

更讓人無奈的是，驗證碼的刁難還帶有“年齡歧視”。對于老年人來說，扭曲的字符、模糊的圖像、復雜的操作，都是難以逾越的障礙。

有調查顯示，超過60%的老年人都遇到過驗證碼相關的困難，有些老人甚至因為不會操作驗證碼，無法使用網上掛號、手機支付等基礎服務。

更要命的是，這些驗證的失敗率高得離譜——2024年的一項研究顯示，只有35%的用戶能一次性順利通過驗證碼，46%的用戶會在多次失敗后直接放棄使用網站。

這場為了區分人機的測試，最終先把人類給篩掉了。

區分計算機和人類，難道只有一條路？

當你一邊心里暗暗吐槽，一邊按指令輸入驗證碼時，還有一件事正在發生。

人類在驗證碼上耗費的時間，還成了AI進化的免費燃料。

在谷歌瀏覽器上經常出現街景驗證碼：需要人類選中所給圖片上的房屋、小轎車或路牌等的驗證碼。

這些圖片大多來自于谷歌街景，其中的一部分圖片人工智能已經識別出來，但剩下就需要人類幫助訓練AI，讓AI能像人眼一樣準確地識別路況信息。

谷歌在2009年以2780萬美元收購了路易斯·馮·安的reCAPTCHA項目后，有研究人員估算，之后的13年里，用戶在谷歌驗證碼上總共消耗了8.19億小時，按美國聯邦最低工資計算，相當于谷歌省下了至少61億美元的工資。

如今，在大家的“辛勤喂養”之下，谷歌旗下的無人駕駛汽車公司，已經在自動駕駛領域處于遙遙領先的地位，登上2025年最佳發明榜單。

我們以為自己在通過考試，殊不知自己只是免費的“打工人”。

當驗證碼把人類逼得走投無路時，很多人開始思考：區分計算機和人類，真的只能用“考試”這種方式嗎？

答案顯然是否定的。隨著技術的發展，越來越多的替代方案出現。

最成熟的替代方案，是“無感驗證”。比如通過分析用戶的行為數據來判斷身份——比如鼠標移動軌跡、頁面滾動速度、點擊位置分布等。

系統會給每個用戶打一個0到1.0的分數，分數越高，說明是人類的概率越大；如果分數過低，才會觸發進一步的驗證。

無感驗證的用戶體驗堪稱完美，但也存在爭議，它需要收集用戶的行為數據，這涉及到隱私問題。

但也有用戶擔心：“我在網上的每一個動作都被監控，這和被跟蹤有什么區別？”

另一種更便捷的方案，是一鍵免密登錄。用戶只需要點擊“一鍵登錄”，授權后就能完成驗證，全程不需要輸入任何驗證碼。

這種方式解決了短信驗證碼的所有痛點：不需要等待接收，不會被攔截，也不會過期。現在很多社交、電商、出行類APP都已經采用了這種方案。

一鍵免密登錄不僅方便用戶，對企業來說也有好處。它的資費比短信驗證碼低15%到20%，能幫企業節省運營成本。

這些替代方案的出現，證明了區分人機不一定需要考試。

它們的核心邏輯不是“考用戶”，而是“用技術手段主動識別”，把麻煩留給企業和技術。

回望驗證碼的25年發展史，其實是一部“人機博弈史”。從最初的字符驗證到現在的人臉識別，驗證碼的每一次升級，都是被AI逼出來的。

可這場博弈到最后，卻變成了對人類的“折磨”——我們發明了AI，又為了防AI，把自己變成了被考驗的對象。

希望未來的某一天，我們能徹底和那些折磨人的驗證碼說再見。

圖片來源于網絡，侵權請聯系刪除