以子之矛攻子之盾：谷歌reCAPTCHA机器人验证被自家服务骗过了

reCAPTCHA项目是由卡内基·梅隆大学所研发的一套系统，常应用在一些网站的“我不是机器人”验证上。谷歌于2009年收购了reCAPTCHA，但没想到的是，一些研究人员用谷歌的另一项服务，攻破了reCAPTCHA。

据MotherBoard报道，马里兰大学的研究人员推出了一套据称能够骗过reCAPTCHA的“unCaptcha”系统。有趣的是，这套系统借用了谷歌的语音转文本服务，可谓是“以子之矛攻子之盾”。

马里兰大学论文介绍页截图。他们在这里调侃了一下，把“我不是机器人”的文字写成了“我不是人类”

根据他们的论文，“unCaptcha”会先下载音频验证码，将音频分成单个数字音频片段；之后，系统将片段上传到包括多个语音转文本服务，再将后者返回的结果转化为数字形式。

之后，系统会做一些一些同音词猜测，决定哪个语音转文本的输出最接近准确结果，然后将答案上传到CAPTCHA验证上。据称，这种旧方法的成功率达到了85％。

谷歌自然不会对此放任不管。在早先版本的“unCaptcha”发布后，谷歌修复了部分漏洞，优化了浏览器自动检测，并切换到口头短语验证而不仅仅是通过数字方式。

可是这些研究人员似乎“魔高一丈”。他们表示，更新后的“unCaptcha2”可以绕过谷歌的改进措施，且将破解的成功率进一步提升到90％。

unCaptcha2项目的GitHub页面截图

这套系统现在已经发布到了GitHub上。根据研究人员的说法，谷歌已经知悉新系统的情况，且没有去找他们麻烦。他们在相关页面上写道：

我们已经与ReCaptcha团队联系了六个多月，他们完全知悉新的攻击。尽管该项目已取得成功，但reCAPTCHA团队允许我们发布代码。

相关链接：

https://github.com/ecthros/uncaptcha2

http://uncaptcha.cs.umd.edu/