趕在10月份的Connect大會之前,Cloudflare已於本周雄心勃勃地宣佈一個名為Turnstile的新項目,其旨在取代在全網用於驗證真人(而非機器人)訪問的CAPTCHA圖形驗證碼。一些網站有提供AI支持的驗證碼解決方案,且每千次的驗證成本低至0.50美元,但Cloudflare直接選擇免費開放Turnstile。
無論是否 Cloudflare 的客戶,Turnstile 都允許網站免費使用。它會從一組輪換的“瀏覽器挑戰”中加以選擇,以將疑似非真人的機器訪問拒之於門外。
事實上,驗證碼機制已經在 Web 領域存在數十年,並在阻止機器人流量方面取得相對的成功。
另一方面,隨著廉價勞力和各種類型的自動求解器的泛濫,傳統驗證碼機制正面臨日益嚴峻的失效挑戰。
一些研究人員聲稱,AI 加持的攻擊手段,遲早可能攻破流行的 Web 圖形驗證碼。
Cloudflare 本身也曾是 CAPTCHA 用戶,但根據首席技術官 John Graham-Cumming 所述,該公司從未對其效果感到過滿意。
其在接受采訪時稱,這項技術存在諸多缺點,包括可訪問性差(難以幫到視力障礙群體)、文化偏見(預設熟悉美國的出租車等目標物體)、以及消耗過多的數據流量。
John Graham-Cumming 在一封電子郵件中寫道:“糟糕的用戶體驗,是 CAPTCHA 存在的最大問題。隨著計算機在解決這些問題的能力上日漸提升,未來前景更不容樂觀”。
期間,Cloudflare 一度轉向被稱作 hCaptcha 的替代服務。作為一項混合型的 Web 驗證服務,有時它會要求訪客輸入姓名、對某種蔬菜的偏好、或點選出 27 張圖片中的火車。
然而此類替代方面的反沖擊力、以及某些 CAPTCHA 服務付費成本,最終促使 Cloudflare 開發出更適合自己的替代解決方案。
他補充道:“多年來,我們一直致力於這方面的工作,並於 4 月份的一篇博客文章中進行深入的探討”。
現在,隨著 Cloudflare 將驗證碼使用量銳減 91%,其已證明這項新方案相當實用,並希望讓每個人都可選擇擺脫傳統 CAPTCHA 的束縛。
Cloudflare 指出,Turnstile 會根據“會話期間表現的遙測和客戶端行為”而自動挑選對應的“瀏覽器挑戰”,而不死板地參考 cookie 登錄等因素。
通過運行非交互式 JavaScript 挑戰,以收集有關訪客和瀏覽器環境的信號,並借助 AI 模型檢測之前通過挑戰的特征,Turnstile 會將挑戰難度微調到合適的水平。
要部署 Turnstile,網站管理員需要創建一個 Cloudflare 帳戶、並獲取必要的嵌入代碼,然後將其粘貼到各自網站的代碼中。
在向 Cloudflare 的 Turnstile API 添加服務器端調用後,這項服務就可立即上線、且任何站點都可以調用其 API 。