/Internet

Neue Captchas können Künstliche Intelligenzen überlisten

Matt Burgess / WIRED UK 27.10.2017 Lesezeit 6 Min

Captchas sind nicht nur lästig, sondern auch unsicher. Künstliche Intelligenzen können die Tests zur Unterscheidung zwischen Mensch und Maschine mittlerweile einfach knacken. Doch neue Captchas werden entwickelt, um KIs auszutricksen.

Der Turing Test soll herausfinden, ob man gerade mit einem Menschen oder mit einer Maschine redet. Genau das gestaltet sich zunehmend schwerer. Computer sind immer besser darin geworden, menschlich zu erscheinen und haben es sogar geschafft, den Turing Test umzukehren: Nämlich Maschinen einzureden, sie wären Menschen.

Damals in den 00er Jahren, als primitive Bots das Web plagten, war die Lösung dieses Problems eine Variation des Turing-Tests: der Completely Automated Public Turing Test to tell Computers and Humans Apart, also der vollautomatische öffentliche Turing-Test zur Unterscheidung von Computern und Menschen, besser bekannt als CAPTCHA. Das Prinzip erlaubte es Websites, zwischen menschlichem und maschinellem Verhalten zu unterscheiden. Zumindest war das die Idee.

„Es gab schon immer einen Kampf zwischen Benutzerfreundlichkeit und Sicherheit,“ sagt Nan Jiang, der an der Bournemouth Universität über die Interaktion von Mensch und Maschine lehrt. Die ersten Captchas wurden von einem Forscherteam entworfen, zu dem auch der Gründer der Sprachlern-App Duolingo gehörte. Diese drehten sich darum, Buchstaben und Zahlen in einem Bild zu erkennen. Google kaufte das System im Jahr 2009 und machte daraus reCaptcha, das nebenbei dabei hilft, Bücher zu digitalisieren.

Webseiten waren nun in der Lage, Bots zu erkennen und diese mit recht großem Erfolg zu blockieren. Allerdings machten sich diese frühen Captchas auch bei menschlichen Nutzern nicht gerade beliebt. Erst 2013 schaffte Ticketmaster seine unbeliebten Captchas ab, die Nutzer dazu aufforderten, extrem unleserliche Wörter zu erkennen. Das Blatt begann sich zu wenden.

Mit den Fortschritten im maschinellen Sehen begannen Computer, auch Inhalte auf Bildern erkennen zu können. Die alten Captchas waren dem nicht mehr gewachsen. Wie die inzwischen veraltete Captcha-Website erklärt: „Entweder wird das Captcha nicht gelöst, was bedeutet, dass es einen Weg gibt, Menschen und Maschinen auseinanderzuhalten. Oder das Captcha wird gelöst, was bedeutet, dass ein KI-Problem gelöst ist.“

Captcha ist tot

2013 behauptete das KI-Startup Vicarious, dass es diese Captchas mit seiner KI bezwungen hat. Heute, vier Jahre später, hat es die Methode in der Fachzeitschrift Science veröffentlicht.

Dileep George, der Mitbegründer von Vicarious, sagt, dass sein Algorithmus eine datensparende Methode verwendet, um Captcha und reCaptcha zu knacken. Das Geheimnis steckt in Vicarious’ Recursive Cortical Network, also einem bestimmten künstlichen neuronalen Netzwerk, das auf visuelle Wahrnehmung trainiert ist. George sagt, dass es handgeschriebene Ziffern und Text in natürlichen Umgebungen erkennen kann und dabei 5000 Mal weniger Trainings-Bilder braucht als andere Methoden.

„Die KI muss wirklich verstehen, woraus ein Buchstabe besteht,“ sagt George. Er erklärt, dass das System Modelle von Buchstaben erstellen kann, um zu verstehen, wie diese geformt werden. Dazu braucht es keine Captcha-Beispiele, mit denen die KI gefüttert werden muss. „Auch wenn sich der Hintergrund ändert, erkennt das Modell den Buchstaben,“ sagt er. Erst als diese Captcha-Systeme langsam durch andere ersetzt wurden, veröffentlichte Vicarious seine Ergebnisse. Ende 2015 begannen er und sein kleines Team mit der Arbeit an dem Paper.

Es ist nicht das erste Mal, dass Captchas geknackt wurden. Audio-Captchas, die die Wörter vorlesen, wurden von Microsoft, Digg, eBay und anderen bis 2011 genutzt, bis sie von Informatikern der Stanford Universität entschlüsselt wurden.

Es gab Versuche, Captchas mit der Brute-Force-Methode zu knacken – allerdings mit Menschen statt Maschinen. 2008 wurde bekannt, dass es in Indien Unternehmen gibt, die Menschen dafür bezahlen, Captchas von MySpace und Google zu beantworten. Damals konnte man 1000 gelöste Captchas für zwei Dollar bekommen. Das Captcha-Crowdsourcing hatte aber einen Haken. Wie eine Studie 2010 herausfand, lagen Menschen nur in 71 Prozent der Fälle richtig.

Andere ausgeklügeltere Captchas wurden inzwischen ebenfalls geknackt. Snapchats Pount-and-Click-Captcha musste sich der KI ziemlich schnell geschlagen geben. 2014 hat Google seine textbasierten Captchas offiziell abgeschafft und durch den „Ich bin kein Roboter“-Button ersetzt. Das System setzt auf eine zweite Stufe, in der Menschen auf alle Bilder klicken sollen, die etwa eine Katze oder anderes Objekt beinhalten.

Drei Forscher an der Columbia Universität haben einem Algorithmus beigebracht, 70 Prozent der reCaptcha-Aufgaben von Google zu lösen. „Bei Facebooks Bilder-Captchas erreicht unser System eine Genauigkeit von 83,5 Prozent,“ schreiben die Wissenschaftler in dem Paper. Das System war kaputt. Irgendwas musste geschehen.

Captcha lebt

Ende 2016 kündigte Google an, ein unsichtbares reCaptcha einzuführen, dem eine erweiterte Risikoanalyse zugrunde liegt. Das System nutzt Googles KI, um nach Anzeichen menschlichen Verhaltens zu suchen. Es arbeitet im Hintergrund und achtet darauf, wie lange es dauert, bis der Nutzer auf eine Seite geklickt hat und wie sich die Maus bewegt. Als Ergebnis entfernte Google die „Ich bin kein Roboter“-Box. Das System wurde im März 2017 eingeführt und hat laut eines Blogeintrags von Google „Millionen von Menschen erlaubt, jeden Tag ohne einen Klick Webseiten zu besuchen.“ Mehr Details zur Funktionsweise verrät Google nicht.

Andere Methoden erfordern immer noch menschliche Eingaben. Nan Jiang hat etwa ein mobiles Captcha entwickelt, das er Taptcha genannt hat. In einer Welt, in der herkömmliche Computer an Relevanz verlieren, sagt er, braucht es neue, intelligente Methoden, um KI-Technologien zu überlisten. Das Tapcha-System funktioniert auf Mobilgeräten und baut auf den verzerrten Text-Captchas aus den alten Tagen auf.

„Wir nutzen dieses Prinzip, um die Aufforderung zu formulieren,“ sagt er. In einem Beispiel fordert der verzerrte Text dazu auf, eine Stern-Form von der einen Seite des Bildschirms an die andere Seite über eine weitere Form zu schieben. „Diese Fragen haben einen bestimmten Kontext,“ sagt Nan. Um dieses Captcha zu knacken, müsste eine Maschine nicht nur verstehen, was dort geschrieben steht, sondern auch den Kontext und die verlangte Aufgabe dahinter.

Amazon hat wiederum ein Captcha-System patentiert, bei dem Menschen scheitern sollen. In dem Patent steht, dass Menschen häufig an bestimmten Logiktests scheitern – zum Beispiel die Anzahl an Buchstaben in einem Satz zu zählen – und Maschinen dieselben Fragen mit Leichtigkeit beantworten können. Ein anderes Amazon-Patent testet das physikalische Verständnis von Menschen. So wie in dem Beispiel von Nan müsste ein System in der Lage sein, den Bildinhalt zu verstehen und selbstständig zu einer Schlussfolgerung zu gelangen. Auch die fortschrittlichsten KIs haben damit im Moment noch Probleme.

Sind diese Systeme also unfehlbar? Nan prognostiziert, dass alle Captcha-Systeme irgendwann versagen können, sobald die KI menschlich genug geworden ist. „Wenn wir richtig gute KI-Systeme haben, werden diese irgendwann von Algorithmen nachgeahmt werden, die wir uns jetzt noch gar nicht vorstellen können. Es bleibt die Herausforderung zwischen benutzerfreundlichen aber dennoch sicheren Captchas.“

Man kann sie hassen, aber Captchas werden immer ein Stück menschlicher Interaktion benötigen, um Künstliche Intelligenz zu überlisten. Vielleicht ist das sogar besser als Black Boxes, die intransparent entscheiden, wer ein Mensch ist und wer eine Maschine.

Dieser Artikel erschien zuerst auf WIRED.co.uk.