No início deste ano, os usuários do HBO Max que desejavam se conectar ao serviço tiveram que passar por um desafio de áudio no qual ouviram várias músicas e tiveram que selecionar a que tinha um padrão de repetição. Recentemente, quando entrei no LinkedIn, ele me pediu para provar que eu era humano com um quebra-cabeça incomum. Com um conjunto de botões esquerdo e direito, tive que girar uma imagem em 3D de um cachorro rosa até que ele ficasse de frente para a direção apontada por uma mão próxima a ele.
Os sites usam esses captchas (o nome vem de “Completely Automated Public Turing test to tell Computers and Humans Apart”) para saber se um usuário é humano ou máquina. Você deve ter notado que eles ficaram cada vez mais difíceis e complexos. Isso se deve ao que acontece depois que resolvemos um captcha: os dados de nossos esforços para rotular essas grades borradas de semáforos, texto ou ônibus são usados para treinar sistemas de IA, que se tornam melhores em derrotar captchas, fazendo com que os sistemas pensem que são humanos.
A corrida armamentista entre humanos e máquinas vem progredindo há algum tempo. Já em 2016, pesquisadores da Universidade de Columbia mostraram que podiam resolver os captchas de imagem do Google com 70% de precisão usando ferramentas de reconhecimento de imagem automatizadas prontas para uso, do tipo que poderia ser prontamente usado por designers de bots.
Os captchas se tornaram mais complexos por necessidade. Porque, à medida que a IA se torna mais sofisticada, eles se tornam menos eficazes.
A essa altura, alguns captchas já se tornaram um pouco surreais. Recentemente, uma empresa chamada hCaptcha pediu às pessoas que identificassem um objeto que não existe — um “Yoko”, que parece ser um ioiô gerado por IA com aparência semelhante à de um caracol.
Tanto as empresas de tecnologia quanto os consumidores acham que é hora de mudar. Por um lado, os captchas antigos (que ainda estão em uso) simplesmente não funcionam mais: “Clicar em imagens como ônibus e placas de rua está ultrapassado”, disse Ashish Jain, CTO da Arkose Labs, a empresa por trás dos captchas do LinkedIn e da HBO, à MIT Technology Review. “Os bots evoluíram, mas os captchas antigos não.” Minijogos ainda mais complicados podem não ser suficientes para manter a IA sob controle. Em um caso, um chatbot (guiado por humanos) fingiu ser deficiente visual e conseguiu contratar um humano para resolver um captcha para ele.
Mauro Migliardi, professor de engenharia de software da Universidade de Pádua, acredita que os criadores de captcha terão que dar um passo além para ficar à frente das máquinas. Como as IAs podem ser treinadas para lidar com qualquer tarefa cognitiva, diz ele, talvez seja necessário fazer a transição para desafios físicos, como exigir que os usuários girem seus telefones ou os movam de uma determinada maneira, como fariam em um videogame.
Isso poderia resolver alguns problemas, mas criaria outros. Quanto mais complicado for o desafio, mais complicado será fazer o que você deseja fazer na Web. E algumas abordagens podem excluir alguns usuários. “Na verdade, é muito difícil criar um desafio como esse que seja amigável para toda a população humana”, escreveu Jess Leroy, diretor sênior de gerenciamento de produtos do Google Cloud, em um e-mail. “Há muitas razões pelas quais algo que pode ser óbvio ou fácil para uma pessoa pode ser difícil para outra.” Isso inclui deficiências e diferenças culturais.
A longo prazo, talvez vejamos o abandono total dos captchas. Empresas como o Google e a Cloudflare já mudaram discretamente para desafios “invisíveis”, que monitoram impressões digitais online do comportamento humano, como movimentos do cursor ou comportamento de navegação, para diferenciar uma pessoa de um bot. Se esses tipos de sinais convencerem o software de que você é humano, não será necessário resolver um captcha.
Essa abordagem gera preocupações com a privacidade: esses sinais podem permitir que anunciantes e sites rastreiem o que você está fazendo online. Uma alternativa poderia vir de uma coalizão de empresas, incluindo Google, Fastly, Cloudflare e Apple, que desenvolveu um mecanismo mais favorável à privacidade chamado Privacy Pass. Antes mesmo de abrirmos um navegador e nos depararmos com um desafio de captcha, realizamos várias ações em nossos telefones e computadores — como desbloqueá-los com o rosto — que são difíceis de serem imitadas por um bot. Em um site habilitado para o Privacy Pass, nossos dispositivos coletam todas essas informações e atestam por nós, permitindo que ignoremos completamente o captcha. Esses dados nunca saem do seu dispositivo e não são compartilhados com o site. A Apple chama essas assinaturas de Tokens de Acesso Privado (PATs) e já deixa o recurso ativado por padrão nos iPhones que executam pelo menos o iOS 16.
A maioria dos provedores de captcha, como hCaptcha e Cloudflare, agora também oferece suporte a PATs. O CTO da Cloudflare, John Graham-Cumming, disse em julho que mais da metade das solicitações de dispositivos iOS usavam PATs. Leroy diz que as equipes do Chrome e do Android do Google estão “trabalhando em tecnologias semelhantes”.
Mas não espere que os captchas desapareçam tão cedo. Embora o Privacy Pass possa ser uma alternativa confiável, os captchas continuam populares. Ting Wang, professor de ciência da informação e tecnologia da Penn State University, prevê que eles “continuarão a existir como uma solução de verificação barata, independente de plataforma e universal”.
Shubham Agarwal é um jornalista de tecnologia freelancer.
MIT Technology Review
