搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評論與回復
      VIP于 到期 續(xù)費
      登錄后你可以
      • 下載海量資料
      • 學習在線課程
      • 觀看技術視頻
      • 寫文章/發(fā)帖/加入社區(qū)
      會員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動

      完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

      3天內不再提示

      Google AI騙過了Google,工程師竟無計可施?

      電子工程師 ? 來源:lq ? 2019-02-04 09:35 ? 次閱讀

      如果你通過 Google 搜索購買演唱會門票或者注冊論壇賬號,系統(tǒng)會提示你必須點擊幾個圖框、音頻或者移動鼠標等操作來確認是人類在操作驗證而不是機器人。

      其背后的驗證機制就是 CAPTCHA(驗證碼),保護互聯網服務免受諸如 Sybil 的攻擊,這是互聯網防止自動創(chuàng)建帳戶和濫用服務的第一道防線。而 Google 的 reCaptcha 服務是最受歡迎的驗證碼系統(tǒng)之一,目前被成千上萬的網站用于測試用戶是否是人類,以防范機器人的攻擊。

      reCAPTCHA 發(fā)布之后,無論是安全專家還是研究人員都在試圖挑戰(zhàn)它,找出它的漏洞,比如一些專家就試圖通過反向圖像搜索、深度學習和“實驗神經科學數據”來進行攻擊。這些方法要么成功率較低或者很快就被 Google 團隊迅速補上了漏洞。但其中一種攻擊方法讓 Google 團隊看上去束手無策。

      馬里蘭大學的研究人員聲提出的 unCaptcha 攻擊方法 unCaptcha 可以輕松騙過 Google reCaptcha。他們使用來自實時網站的超過 450 次 reCaptcha 挑戰(zhàn)來評估 unCaptcha,并證明可以在 5.42 秒內以 85.15% 的準確率進行破解。

      該方法的原理讓人萬萬沒想到的是:在用戶請求語音驗證碼后,只要把收到的內容轉發(fā)給 Google 語音轉文字 API,然后把收到的回復進行提交,最后竟然給輕易破解了。

      古人問:以子之矛,攻子之盾,何如?

      Google reCaptcha 團隊:其人弗能應也......內心苦,說不出。

      微博網友如此調侃:

      怎么會這樣呢?

      上述研究人員最初在 2017 年開發(fā)了 UnCaptcha,他們在發(fā)表的論文《unCaptcha: A Low-resource Defeat of reCaptcha's Audio Challenge》中給出了更為詳細的解釋:通過 UnCaptcha 下載音頻驗證碼,將音頻分成單個數字音頻片段,將片段上傳到多個其他語音轉文本服務(包括 Google),然后將這些服務得出的結果轉換為數字編碼。隨后經過一些同音詞猜測后,它會決定哪個語音到文本輸出最接近準確值,然后將答案上傳到 CAPTCHA 字段。

      這還是 unCaptcha 1.0 版本,成功率便達到 85%。在這一版發(fā)布后,Google 隨即修復了一些漏洞,包括提升瀏覽器自動檢測性能以及將驗證方式從數字編碼切換為短語音,這成功防止了 unCaptcha 的攻擊。

      不過,上述研究人員在 2018 年 6 月升級了新方法,unCaptcha v2 依然可以繞過這些防御機制,并且“魔高一丈”,準確性比以前更高,達到了 90%。

      這次他們還公布了 v2 版的代碼和更詳盡的步驟,研究人員稱 unCaptcha2 的操作方法很簡單:

      導航到 Google 的 ReCaptcha 演示網站

      導航到 ReCaptcha 的音頻挑戰(zhàn)

      下載音頻挑戰(zhàn)

      將音頻挑戰(zhàn)提交到 Speech To Text

      解析響應和類型答案

      按提交并檢查是否成功

      (過程演示)

      由于 unCaptcha2 必須轉到屏幕上的特定坐標,因此你需要根據設置更新坐標。這些坐標位于 run.py 的頂部。在 Linux 上,使用命令 xdotool getmouselocation --shell 查找鼠標的坐標可能會有所幫助。

      你還需要為選擇的任何語音轉文本的 API 設置證書。由于 Google,微軟和 IBM 的語音轉文本系統(tǒng)看起來效果最好,因此這些系統(tǒng)已包含在 queryAPI.py 中。此外,你必須根據需要設置用戶名和密碼,對于 Google 的 API,必須使用包含 Google 應用程序證書的文件設置環(huán)境變量(GOOGLE_APPLICATION_CREDENTIALS)。

      最后,使用安裝依賴項 pip install -r dependencies.txt,大功告成。

      到此你還有疑惑問這難道不是黑客攻擊嗎?Google 沒報警?研究人員的說法是,他們已經聯系了 Google ReCaptcha 團隊,提醒 Recaptcha 更新后的系統(tǒng)安全性更差了,所以后者完全了解這次攻擊的事件,而研究人員非但沒有受到任何干擾,而且在破解成功率如此之高的情況下,ReCaptcha 團隊甚至允許他們公布代碼。

      當然,這些研究人員這么努力找 ReCaptcha 的 bug,并善意提醒ReCaptcha 團隊基礎架構的問題,卻沒能得到 Google 的獎勵,研究人員也特意強調了這一點。

      ReCaptcha 團隊暫時未給出應對攻擊的進一步措施,但研究人員最后發(fā)布免責聲明稱,當 Google 再度更新 ReCaptcha 服務時,他們將不再更新 GitHub 庫。因此,他們預計 unCaptcha2 攻擊方法未來會失效,項目本身也會隨時中斷。

      聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規(guī)問題,請聯系本站處理。 舉報投訴
      • Google
        +關注

        關注

        5

        文章

        1769

        瀏覽量

        57665
      • 互聯網
        +關注

        關注

        54

        文章

        11178

        瀏覽量

        103577

      原文標題:Google AI騙過了Google,工程師竟無計可施?

      文章出處:【微信號:rgznai100,微信公眾號:rgznai100】歡迎添加關注!文章轉載請注明出處。

      收藏 人收藏

        評論

        相關推薦

        不只是小米,Google和大學為黑人工程師推出居住計劃

        有一系列系統(tǒng)性的問題繼續(xù)傷害黑人工程師的工作機會。Google可以自己解決其中的一些問題;并且與霍華德這樣的合作伙伴關系,它可以幫助更有抱負的工程師最終獲得他們一直在學習的職位。
        發(fā)表于 03-24 09:08 ?1082次閱讀

        使用google-translate和wwe合并后無法使用google-tts怎么解決?

        我打算使用lyrat-mini做一個使用喚醒詞喚醒然后后續(xù)通過google-sr和google-tts進行交流的聊天機器人,但是當我合并了adf的例子中的wwe和google-translate之后
        發(fā)表于 06-28 06:05

        google惡意軟件警告提示怎么處理?

        google惡意軟件警告提示怎么處理?google惡意軟件警告處理方法按google說明:如果您檢查過網站并確認網站已恢復安全,便可以提交重新審核的請求:請注意,您需要先驗證網站的所有權,然后才能
        發(fā)表于 04-27 11:23

        【轉載】Google Glass應用開發(fā)探索

        Google Glass應用。 作者Macy Kuang,加拿大theScore公司資深技術指導,從事手機移動游戲以及軟件開發(fā)。她是AndroidTO主辦人,曾任GameLoft及Webkinz資深工程師。微博ID:@Macyk`
        發(fā)表于 06-28 02:21

        Google 工程師警告,當心質量不佳的 USB Type-C 線材損壞設備

        Google Chromebook Pixel 筆電和 PixelC 平板的工程師 Benson Leung 發(fā)現,市面上部分線材并未遵循規(guī)范,有些線材 CC 針腳直接浮接,或者是使用了錯誤規(guī)格
        發(fā)表于 11-08 21:39

        最受工程師歡迎的車載設計方案——基于STM32+GPRS+GPS+Google Earth的車載導航定位系統(tǒng)

        數據庫中,并以Google Earth(GpsGoogleEarth)的形式呈獻給監(jiān)控人員?;?b class='flag-5'>Google Earth的軟件設計解析:基于Google Earth的軟件的編寫主要有兩種方式:一種是內嵌
        發(fā)表于 08-28 15:32

        Google掌舵人:打電話AI是一次非凡突破

        通過圖靈測試!Google掌舵人說“打電話AI”是一次非凡突破
        發(fā)表于 05-12 13:45

        Python成為軟件工程師的最愛

        Python成為軟件工程師的最愛在2020年,Python、Java、AWS 和Web開發(fā)框架(React、Angular、Spring 和 Node.js)將成為最受軟件工程師歡迎的技能。2021
        發(fā)表于 11-27 10:33

        Google新發(fā)布的Google Pixel 2、Pixelbook參數價格分享

        Google Home Mini 建議售價 49 美元,Google Home Max 搭載 Google 最新開發(fā)的 AI 技術 Smart Sound,可根據放置在家中的位置自動調
        發(fā)表于 01-11 07:52 ?2010次閱讀

        Google工程師的一天

        最近我在想,和在哈佛時的院系工作相比,在Google上班日子到底有多么不同。最大的差別就是,在哈佛一周,如果我要是能半個小時做些和編程相關的事,那真是走大運了。而我在 Google 將近有(或超過
        的頭像 發(fā)表于 08-15 14:29 ?2056次閱讀

        Facebook挖走Google高級工程師主管Shahriar Rabii

        據外媒 The Information 報道,Facebook 正在投入更多資源用于開發(fā) AI 芯片,并在本月挖走 Google 高級工程師主管 Shahriar Rabii,此前這位主管曾是
        的頭像 發(fā)表于 07-19 09:00 ?3504次閱讀

        Google招聘工程師時主要看中哪些方面?

        工程師的過程跟從前大不一樣了——有一部分改變是特意設計的。在 Google,我們刻意擴大了校園招聘的范圍,從前幾年的 75 所增加到了目前的 305 所。除了計算機系的學生,我們同樣也對英語系
        的頭像 發(fā)表于 08-01 15:21 ?3279次閱讀

        揭秘Google兩大超級工程師AI領域絕無僅有的黃金搭檔

        這個臨時“戰(zhàn)情室”相當簡陋,為了盡快開展工作,Google 工程師們直接將門架起來當作桌子辦公了。當時,27 歲的 Craig Silverstein 也搬到了“戰(zhàn)情室”,作為 Google 第一名員工,他在 Brin 創(chuàng)業(yè)初期
        的頭像 發(fā)表于 12-12 14:13 ?2500次閱讀

        Google AI騙過工程師 Google團隊卻束手無策

        如果你通過 Google 搜索購買演唱會門票或者注冊論壇賬號,系統(tǒng)會提示你必須點擊幾個圖框、音頻或者移動鼠標等操作來確認是人類在操作驗證而不是機器人。
        的頭像 發(fā)表于 01-08 16:17 ?3017次閱讀

        Google工程師文化是怎樣的

        和特點,再一次加強了了 Google 在我心目中的形象:工程師的天堂。Q&A 環(huán)節(jié)中有一個同事問了一個問題,他說:
        的頭像 發(fā)表于 02-22 14:16 ?3287次閱讀