YYaaa News

Google reCAPTCHA 首次要看你的手|21 個關節點驗證上線,被一張庫存照繞過

一句話總結

Google 6 月 19 日把手勢驗證推進 reCAPTCHA:21 個手部關節點配攝像頭做活體判定。Neowin 用一張庫存手部照直接放行,第一波測試就被靜態圖繞過。

Google reCAPTCHA 首次要看你的手|21 個關節點驗證上線,被一張庫存照繞過

Google 6 月 19 日把 手勢驗證 推進 reCAPTCHA 產品線,掛在 Google Cloud Fraud Defense 之下,向登錄頁、註冊頁、改密頁、結帳頁的接入網站開放。新版驗證碼不再讓你點紅綠燈,而是要求打開攝像頭、對著鏡頭比手勢,背後由 Google MediaPipe Hand Landmarker 抽取 21 個手部關節座標 做活體識別。

Google 在官方文檔上把隱私邊界寫得很硬:「The videos are never associated with a user's identity and are deleted after the verification process. Audio is never recorded.」攝像頭視頻只供當次驗證用,用完即刪、不上身份、不錄音、不向第三方共享,無法完成手勢的用戶仍可走原有 視覺 / 音頻挑戰 通道。

問題出在實效。Neowin 的測試員把 一張靜態的庫存手部照片 放在攝像頭前晃了晃,驗證直接放行——21 個關節點識別並不檢查影像是否來自活人指節,連基本的眨眼級活體都沒有。80.lv 在 6 月 22 日的報道里同步質疑:「it's not really clear how well this would hold up against virtual cameras and AI-generated animations that can mimic hand gestures.」官方版本由 deepfake 防線升級而來,第一波公開測試先被靜態照截斷。

社區的兩條反對線同時開火。Cybernews、Reddit、X 上的常見質疑是用戶要把攝像頭權限交給一家以個性化廣告維生的公司去換「人類證明」;reCAPTCHA 過去靠 invisible score、行為信號就能完成大部分判定,現在要求生物特徵採集,門檻直接抬到 GDPR 灰區。Google 沒回應庫存照繞過的測試。

賭贏,攝像頭手勢成為 reCAPTCHA 對抗 AI agent 自動化的下一代護城河,網站接入率沿著 Cloud Fraud Defense 的客戶清單擴張。賭輸,這是史上最貴一張 GDPR 罰單的種子——拿了攝像頭權限,攔不住一張庫存照。

via Cybernews / Google Cloud Docs / Neowin / Help Net Security / 80.lv
Google reCAPTCHA 首次要看你的手|21 個關節點驗證上線,被一張庫存照繞過