Когда в последний раз вы покупали билет на популярный концерт, наверняка сталкивались с раздражающей CAPTCHA — «выберите все квадраты с автобусами» или «напишите слова, которые слышите». И, скорее всего, это вызывало лишь раздражение, ведь билеты всё равно успевали выкупить какие-то «боты». Почему так происходит и что делать организаторам мероприятий, объяснил основатель pretix Рафаэль Михель в своём недавнем анализе.
🧩 CAPTCHA больше не работает. Почему?
Когда-то давно CAPTCHA была революционной идеей: простые задания, которые легко выполняет человек, но с которыми не справляются программы. Со временем искусственный интеллект стал решать эти задачи даже лучше людей:
- 📖 Распознавание текста — современные модели ML (например, Google Vision API) без труда распознают любые искажённые буквы.
- 🖼️ Распознавание изображений — определить мотоциклы на фото для компьютера уже проще, чем для уставшего человека.
- 🎧 Распознавание речи — голосовые CAPTCHA тоже не преграда: системы вроде Whisper от OpenAI отлично распознают любые языки.
Так что же остаётся? Ничего. Рафаэль констатирует: у человечества закончились задачи, которые решаются людьми лучше, чем компьютерами, и которые подходят для быстрой проверки через интернет.
🔒 Альтернативы CAPTCHA и их проблемы
Если традиционные CAPTCHA не защищают, возможно, ИИ поможет победить ботов? Это действительно логичный шаг. Например, Google с reCAPTCHA v3 анализирует поведение пользователя и определяет, человек он или бот, без прямых заданий.
Однако здесь возникает две проблемы:
- 👁️🗨️ Конфиденциальность: Поведенческий анализ требует огромных объёмов данных, что становится настоящим кошмаром для приватности.
- 🚷 Ложные срабатывания: В случае ошибки система может не пустить на мероприятие настоящего человека, особенно если у него необычная модель поведения (например, он пользуется вспомогательными технологиями).
⛓️ А как насчёт других технологий?
Некоторые сервисы используют Proof of Work («доказательство работы»): бот должен потратить ресурсы (электроэнергию, время на вычисления), чтобы пройти на сайт. Это снижает рентабельность массовых атак.
Но тут опять же есть проблема:
- 💰 Для покупки билета с высокой выгодой спекулянты легко пойдут на расходы, так как затраты ничтожно малы по сравнению с возможной прибылью.
🔑 Эффективные (но спорные) способы защиты
Рафаэль предлагает организаторам мероприятий несколько реальных мер, которые могут помочь справиться с ботами:
- 📇 Персонализация билетов
Проверка личности на входе (например, сверка паспорта с именем на билете). Эффективно, но неудобно для тех, кто покупает билет заранее, не зная имени спутника. - 📞 Ограничение на номер телефона или карту
Позволяет купить ограниченное число билетов по одному проверенному номеру телефона или банковской карте. Получить десятки или сотни номеров или карт уже сложнее и дороже, чем просто решить CAPTCHA.
Однако обе меры снижают удобство и доступность для обычных покупателей и также приводят к дополнительным вопросам о приватности.
🧠 BAP-теорема: выбирайте два из трёх
Рафаэль вводит концепцию, аналогичную знаменитой CAP-теореме в базах данных. В «BAP-теореме» он утверждает, что защита от ботов в билетных системах может удовлетворять лишь два из трёх критериев:
- 🚫 Bot-resistance (устойчивость к ботам)
- ♿ Accessibility (доступность для всех пользователей)
- 🔒 Privacy-friendliness (конфиденциальность и уважение приватности)
Получаются следующие комбинации:
- 🚫♿ Устойчивая к ботам и доступная, но не приватная (поведенческий анализ, персонализация билетов).
- 🚫🔒 Устойчивая к ботам и приватная, но не доступная (например, сложные задачи, которые недоступны пользователям с ограниченными возможностями).
- ♿🔒 Доступная и приватная, но не устойчивая к ботам (фактически отсутствие эффективной защиты).
Учитывая обязательные требования доступности (закреплённые законом во многих странах), организаторам приходится выбирать между приватностью и устойчивостью к ботам.
💡 Личный взгляд: социальная проблема техническими средствами не решается
На мой взгляд, самое важное, о чём говорит Рафаэль, — это невозможность решить социальную проблему исключительно техническими средствами. Вопрос борьбы со спекулянтами билетов (ticket scalping) не исчезнет просто от внедрения очередной технологии.
Истинное решение, возможно, лежит в социальной и юридической плоскостях:
- ⚖️ Законодательные запреты на перепродажу билетов.
- 🤝 Поддержка сообществ, которые борются с нечестными методами продажи.
- 📢 Повышение осведомлённости покупателей о рисках покупки у спекулянтов.
Технологии могут помочь, но без поддержки на законодательном уровне и изменения поведения общества полностью победить ботов не получится.
🔗 Ссылки и оригинальные материалы:
🔥 Не бойтесь идти дальше привычных решений и всегда смотрите шире!