打破「我不是機器人」最後一關!CAPTCHA 驗證碼被 AI 代理成功繞過
當 AI 越來越進步,人工智慧遭到濫用的可能性也變得越來越高。舉例來說,近來國外就有資安研究人員就發現,只要透過一些特殊技巧,即可誘騙 ChatGPT 的「代理模式」(Agent mode)直接破解 CAPTCHA 網站驗證碼。
不應該被繞過的 CAPTCHA 驗證碼
全名「全自動區分電腦和人類的圖靈測試」的 CAPTCHA 驗證碼,為當代網站不可或缺的安全機制,它主要被用來阻擋機器人濫發垃圾訊息,或者大量註冊虛假帳號,即便大多數人類網友對它是「又愛又恨」。
一方面,CAPTCHA 能夠確保正在操作網站的使用者為真人,可是在另一方面,真正的人類若想要順利驗證碼中,辨識出那些歪七扭八、毫無章法的文字,以及操作繁瑣的「點選圖片」等步驟,確實會令人感到十分厭煩。
CAPTCHA 的設計初衷是阻擋各種自動化機器人,因此理論上,人工智慧代理也會被 CAPTCHA 機制所阻攔,而各家 AI 開發商所訓練的模型與代理功能,基於倫理、法律及平台政策考量,亦不會繞過驗證碼測試,或是以自動化的方式解決驗證問題。
在過去,CAPTCHA 於防堵機器人洗版留言區和論壇方面,一直都還算是有效,然而資訊安全公司 SPLX 卻指出,只要對 AI 代理發起「提示詞注入」(prompt injection)攻擊,就可以讓各種網站上的 CAPTCHA 形同虛設。
提示詞注入攻擊,欺騙 ChatGPT
SPLX 特別強調,利用 AI 代理破解 CAPTCHA,並不是單純讓人工智慧「看」一張帶有驗證碼的圖片,然後要求 AI 把上面的文字辨識出來,因為任何先進的視覺辨識系統,包含人工智慧模型在內,其實早就能夠順利負擔這種任務。
SPLX 表示,問題在於當 ChatGPT 啟用 AI 代理模式後,它就能夠像真人一樣實際操作網站並通過驗證,然後無礙執行任務,但這在擁有 CAPTCHA 防護機制的網站上並不應該發生。
換句話說,在 AI 代理模式下,使用者只要交給 ChatGPT 一項任務,AI 就會於背景自動執行,當 AI 代理像人類一樣瀏覽並使用網站,遇到 CAPTCHA 驗證碼考驗時,AI 代理應該要主動停止動作,令 CAPTCHA 達到偵測並阻擋機器人的設計用途。
然而 SPLX 的資安研究人員卻發現,只要使用者運用提示詞注入攻擊,刻意欺騙 ChatGPT,告訴 AI 代理它所遇到的驗證碼,其實全都是虛假的限制,AI 代理竟會主動繞過 CAPTCHA,順利完成驗證碼並處理後續任務。
多輪、分階段,打破 AI 安全護欄
根據 SPLX 所打造的越獄測試,研究人員首先設計了一段提示詞,將 AI 所認識的 CAPTCHA,重新描述成一種「虛假限制」,並於對話中要求 ChatGPT 預先同意,自己將會嘗試突破驗證碼。
當 ChatGPT 的 AI 代理開始處理任務,並成功繼承前述提示詞的上下文後,AI 就會直接忽略系統內建的安全護欄,在網站上完成 CAPTCHA 驗證。
研究人員進一步指出,若直接要求 ChatGPT 解決 CAPTCHA,AI 將會以平台政策限制為由,拒絕使用者交代的任務,但是當人類開始改用「誤導」與「偽造情境」的方式說服 AI,並採用多輪、分階段的提示詞注入攻擊後,人工智慧很快就主動繞過了相關限制。
雖然說提示詞注入的攻擊手法,早就已經是非常成熟的駭客技術,但 SPLX 的測試卻也再次反映出,大型語言模型對於此類攻擊的脆弱性。
點紅綠燈也能破解,AI 甚至會進化
SPLX 表示,ChatGPT 的 AI 代理能夠輕鬆繞過的 CAPTCHA 機制,主要是需要單次點擊的方格、邏輯類及文字辨識類驗證碼;至於需要精準操作的圖像類驗證碼,例如要求使用者拖放、旋轉圖片等格式的 CAPTCHA 則相對困難,然而測試中依然有數個案例,最終遭到 AI 成功破解。
同時,為了探究 AI 代理的極限,SPLX 也進行了多種額外測試,結果發現目前的人工智慧對於圖片點擊式驗證碼,例如找出紅綠燈、消防栓這類的 CAPTCHA 其實也能夠破解,為相關資安研究和實驗測試創下首見紀錄。
更令資安專家感到驚訝之處,在於 SPLX 發現 AI 代理在破解驗證碼的過程中,曾經「主動表明」將刻意控制滑鼠的拖動速度,使自己的行為更像人類,對付可能會偵測滑鼠軌跡的 CAPTCHA 驗證機制,即便人類使用者從未指示過 AI,應該要採取類似的動作或操作策略。
未來 CAPTCHA 驗證碼還能撐多久?
資安專家認為,上述實驗引出了一項嚴肅問題,那就是 CAPTCHA 驗證碼機制究竟還能在網路上「撐多久」?
未來有心份子只要準備好一份,預先擬定並用以越獄的提示詞,即可啟動 AI 代理,繞過各種複雜驗證碼並衝擊網路生態。
尤其當 ChatGPT 和各種 AI 代理應用,將從此刻開始變得越來越普及,一旦遭到有心人士或垃圾訊息製造者濫用,未來的網路論壇、留言區,可能很快就會被假貼文、假消息灌爆,AI 甚至可以繞過專為真人設計的網站服務。
而對於企業和網路服務營運者來說,CAPTCHA 遭到 AI 代理攻破,其失效問題絕對是一項重大風險;如何改進脆弱的 AI 護欄,亦將成為將來資安研究者的艱難課題。
【推薦閱讀】
◆ 【網路勒索新型態】「假負評」攻擊席捲全球,數百企業 Google 評分一夕崩盤
◆ AI 加劇資安風險,為何「人」往往是最薄弱的環節?
◆ 【講電話就能賺現金?】一夕爆紅!通訊軟體 Neon 要你「出賣」聲音訓練 AI
*本文開放合作夥伴轉載,參考資料:《TechRadar》、《SPLX》,首圖來源:Google Search Central
(責任編輯:鄒家彥)