CAPTCHA พัง ?

วันนี้ gotoknow หันไปใช้ CAPTCHA ภาษาไทย หลังจากมี spam เล็ดลอดเข้าไปแปะได้ทั้งที่ระบบนั้น ก็มี CAPTCHA อยู่ และรูปแบบ ชวนให้สงสัยว่าเป็น bot ไม่ใช่คน

อ่านจากที่ทีมงานของ UsableLabs ชี้แจงไว้ได้ที่ เปลี่ยนแปลงการแสดงผลรหัสสุ่มเป็นภาษาไทย

ถ้าเป็น bot จริง แสดงว่า ระดับความซับซ้อนเข้าใกล้ระบบปัญญาประดิษฐ์ที่ฉลาดกว่าเดิมมาก เพราะแสดงว่า ต้องเป็นรุ่นที่สามารถประมวลแบบ OCR ได้ (เห็นภาพแล้วสามารถบรรยายข้อความที่ฝังในภาพนั้นได้)

ซึ่งก็หมายความว่า จากนี้ไปอีกไม่กี่เดือน สแปมเหล่านี้ จะสามารถทะลุเข้ามาถึงทุกเว็บบอร์ดหรือทุกเว็บบล็อกที่เคยใช้ CAPTCHA กรองสแปมไว้ได้

ด่านแรกของเป้าหมายคือเว็บที่มีเรทติ้งสูง เว็บใหญ่ เว็บดัง จะโดนก่อน

อย่าได้น้อยใจ เว็บไม่ดัง ก็โดนได้เหมือนกัน แต่ต้องรอคิวสักนิ๊ดนึง 

แต่มาแน่

ทางเลือกแรกที่น่าจะทำได้ง่าย คือหันมาใช้ CAPTCHA ภาษาไทย ซึ่งคงถ่วงเวลาได้สักพักใหญ่ เพราะกลุ่มที่ทำ กว่าจะพัฒนา bot รุ่นที่รู้จักอ่านภาษาไทยแตกฉานด้วย ก็คงต้องใช้เวลาพอสมควรอยู่

ทางเลือกอื่นคือใช้ CAPTCHA ที่อ่านแล้วต้องคิดต่อ เช่น เขียนว่า "หนึ่งร้อยสิบเอ็ดบวกหนึ่งเป็นเท่าไหร่" คนจะกรอก 112 แต่ bot จะกรอก "หนึ่งร้อยสิบเอ็ดบวกหนึ่งเป็นเท่าไหร่"

ใครไม่ทำ ก็เตรียมตัวกลับไปเจอสแปมเหมือนยุคก่อนมี CAPTCHA ได้

ประเภทแปะเข้ามา 3 วินาทีต่อกระทู้ ผมก็เคยเห็นมากับตาแล้ว

เรายังมีเวลาขยับขยายเดือนสองเดือนครับ ใครไม่ปรับตัว รอจนมันมาถึง อาจต้องแขวนป้ายว่า "ปิดเว็บบอร์ดชั่วคราวเพื่อซ่อมระบบ"

กลยุทธการปรับตัวที่ผมเห็น ได้แก่

1. เปลี่ยน CAPTCHA ใหม่ที่ซับซ้อนขึ้น เช่น ภาษาไทย

2. ใช้ CAPTCHA ที่เขียนไว้อย่างหนึ่ง แต่ให้กรอกอีกอย่างหนึ่ง โดยอิงกับฐานความรู้สามัญในสังคม เช่น เขียน ห้าบวกหก ต้องกรอกว่า 11

3. ใช้ CAPTCHA ลวง ให้โปรแกรม bot หลงทางไปอ่าน CAPTCHA ลวงนั้น

4. ใช้ CAPTCHA ที่อยู่อีกหน้าต่าง ต้องคลิกเรียกหน้าต่างใหม่ เพื่ออ่านมากรอกในอีกหน้าต่าง