Google 正測試一項全新的 reCAPTCHA 驗證方式,會開啟使用者裝置的相機,要求使用者揮手或打開手掌,透過標記手部 21 個關鍵位置來判斷是否為真人。
reCAPTCHA 是 Google 提供的一項免費服務,常見的像是辨識哪張圖片為指定物件的方式,採用先進的風險分析技術來分辨真人和機器人,進而保護網站免受垃圾內容和濫用行為的侵擾。
新的驗證方式屬於 Google Cloud 詐欺防護(Google Cloud Fraud Defense)平台的一部分,用意在於捕捉舊有驗證越來越難應付的行為模式,例如自動化帳號建立和憑證填充(credential stuffing)等。
當觸發驗證時,瀏覽器便會要求使用者授權開啟相機或視訊攝影機,引導使用者做一段手勢動作,系統會錄下一段簡短影片,由機器學習模型擷取涵蓋 21 個手指和指節位置的手部關鍵座標資料進行驗證。
Google 說明文件顯示,這段簡短影片會在完成驗證後刪除、期間不會錄製任何聲音,而且影片不會與使用者身分有所連結,也不會分享給任何第三方。同一頁面上補充說,收集的任何資料使用和儲存遵照「Google 隱私權政策」規範。
至於無法完成手勢動作的使用者,則回到既有圖片或音訊的驗證方式。Google 指出,手勢動作不會淘汰既有驗證步驟,而是新增一種以相機拍攝為基礎的生物特徵驗證。
然而展開測試之後,網路上有人找到繞過這項全新驗證方式的做法,僅使用一張人物揮手的圖片素材,將其匯入 OBS 虛擬相機,並將 reCAPTCHA 驗證指向圖像來源,對圖像位置做出幾次調整便通過驗證。整個流程可由一段簡短腳本執行,對惡意攻擊者而言,似乎沒有任何阻力便通過驗證。
這項手勢動作的驗證測試是否會晉升為正式方式全面推出,Google 還未做出正式說明。
😁 Google’s new captcha asks you to show hand gestures on your webcam, but people are already bypassing it with stock photos
This system was supposed to be “the best way to tell humans from AI."
Here we are again. https://t.co/Q3oK6yXwmY pic.twitter.com/RwR3mHnTsf
— VGTimes (@VGTimes) June 29, 2026
(首圖來源:pixabay)






