赶在 10 月份的 Connect 大会之前,Cloudflare 已于本周雄心勃勃地宣布了一个名为 Turnstile 的新项目,其旨在取代在全网用于验证真人(而非机器人)访问的 CAPTCHA 图形验证码。一些网站有提供 AI 支持的验证码解决方案,且每千次的验证成本低至 0.50 美元,但 Cloudflare 直接选择了免费开放 Turnstile 。
无论是否 Cloudflare 的客户,Turnstile 都允许网站免费使用。它会从一组轮换的“浏览器挑战”中加以选择,以将疑似非真人的机器访问拒之于门外。
事实上,验证码机制已经在 Web 领域存在了数十年,并在阻止机器人流量方面取得了相对的成功。
另一方面,随着廉价劳力和各种类型的自动求解器的泛滥,传统验证码机制正面临日益严峻的失效挑战。
一些研究人员声称,AI 加持的攻击手段,迟早可能攻破流行的 Web 图形验证码。
Cloudflare 本身也曾是 CAPTCHA 用户,但根据首席技术官 John Graham-Cumming 所述,该公司从未对其效果感到过满意。
其在接受采访时称,这项技术存在诸多缺点,包括可访问性差(难以帮到视力障碍群体)、文化偏见(预设熟悉美国的出租车等目标物体)、以及消耗过多的数据流量。
John Graham-Cumming 在一封电子邮件中写道:“糟糕的用户体验,是 CAPTCHA 存在的最大问题。随着计算机在解决这些问题的能力上日渐提升,未来前景更不容乐观”。
期间,Cloudflare 一度转向了被称作 hCaptcha 的替代服务。作为一项混合型的 Web 验证服务,有时它会要求访客输入姓名、对某种蔬菜的偏好、或点选出 27 张图片中的火车。
然而此类替代方面的反冲击力、以及某些 CAPTCHA 服务付费成本,最终促使 Cloudflare 开发出了更适合自己的替代解决方案。
他补充道:“多年来,我们一直致力于这方面的工作,并于 4 月份的一篇博客文章中进行了深入的探讨”。
现在,随着 Cloudflare 将验证码使用量锐减 91%,其已证明这项新方案相当实用,并希望让每个人都可选择摆脱传统 CAPTCHA 的束缚。
Cloudflare 指出,Turnstile 会根据“会话期间表现的遥测和客户端行为”而自动挑选对应的“浏览器挑战”,而不死板地参考 cookie 登录等因素。
通过运行非交互式 JavaScript 挑战,以收集有关访客和浏览器环境的信号,并借助 AI 模型检测之前通过挑战的特征,Turnstile 会将挑战难度微调到合适的水平。
要部署 Turnstile,网站管理员需要创建一个 Cloudflare 帐户、并获取必要的嵌入代码,然后将其粘贴到各自网站的代码中。
在向 Cloudflare 的 Turnstile API 添加服务器端调用后,这项服务就可立即上线、且任何站点都可以调用其 API 。