一项来自加州大学欧文分校的最新研究正掀起一场关于验证码“有效性”与隐私风险的风暴。研究报告《茫然与困惑：关于reCAPTCHAv2的大规模真实用户研究》直指谷歌旗下reCAPTCHA工具：它不仅几乎未能阻止机器人流量，反而悄无声息地通过追踪cookie获取用户数据，为谷歌贡献了近万亿美元的价值，同时还在全球范围内浪费了用户数十亿小时的宝贵时间。

验证码：安全防线还是数据陷阱？

研究聚焦了两种最常见的reCAPTCHAv2形式：

• “隐形”或基于行为的验证码：当你点击“我不是机器人”时，系统便在后台监控你的每一次鼠标移动和点击，暗中分析你的行为。
• 基于图像的验证码：要求你从一系列谷歌街景图中挑选出所有摩托车或交通信号灯。

看似防范机器人入侵的两大措施，其实背后隐藏着更大的商业野心——前者生成的追踪cookie为广告定向提供了数据支撑，而后者则被用于训练谷歌内部的人工智能模型，甚至可能被出售给其他公司。

数十亿小时的“隐形成本”

在一项为期13个月的实验中，研究人员悄然将reCAPTCHAv2集成到校内学生账户系统的注册和密码找回流程中，对3600名用户的操作进行了不记名的监测和抽样调查。结果毫不意外：用户在面对更复杂的图像验证码时花费的时间更长，体验也更为糟糕。数据显示，图像与行为验证码的平均完成时间约为3.53秒。将这一数据乘以2010年至2023年间互联网上完成的约5120亿次验证码验证后，研究得出令人瞠目的结论：

• 累计耗时达8.19亿小时
• 按照美国联邦最低工资标准估算，这些时间价值约61亿美元
• 消耗了134PB的互联网带宽
• 耗费750万千瓦时的能源
• 产生750万磅的二氧化碳污染

换个角度想，这8.19亿小时相当于1182.7个普通人一生（以79年为平均寿命）全部用于“对付”验证码。

机器人优势与隐私风险双重挑战

研究进一步比较了人类与机器破解验证码的表现：如今，机器人完成“我不是机器人”复选框的速度远超人类；在图像识别方面，虽然机器人耗时略长，但其准确率却更高。与此同时，研究者警示，验证码生成的追踪cookie不仅暴露了用户隐私，还带来了新的安全隐患。

基于谷歌公开的图像识别数据集价值及单个追踪cookie的终身价值，研究估算出：

• 完整的reCAPTCHAv2数据集价值介于87.5亿至323亿美元之间，其商业价值足以反复转售给不同供应商；
• 2010年至2023年期间，所有通过reCAPTCHA产生的追踪cookie的终身价值竟高达8880亿美元！

终极反思：虚假安全还是精明商业？

研究最后直言：“reCAPTCHAv2的真正功能似乎是伪装成安全防护工具，实则作为一个庞大的追踪数据工厂来盈利。”既然验证码对互联网安全或网站功能并无实质性贡献，研究者呼吁应当逐步淘汰这种机制——但在短期内，改变似乎仍遥遥无期。

这项研究不仅为我们揭示了CAPTCHA背后的巨大隐形成本，也让人们开始重新思考：在数字时代，为了所谓的“安全”付出的代价究竟是否值得？而那些看似微不足道的点击和验证，又是否早已被资本化，成为了数据帝国中的另一笔“隐形收入”？

面对如此巨大的时间和资源浪费，以及伴随而来的隐私风险，我们或许该问：这真的是为了安全，还是为了构筑一个更庞大的商业数据帝国？

相关标签： 750 819 2010 2023 验证码 reCAPTCHAv2 cookie 机器人 追踪 数据