Romeoiii 发表于 2026-2-17 23:25
不是嘲讽,什么功能作用效果不清楚,表达能力欠缺。
我本来不想回复你的,但既然非要我表达清楚,那我就回复你一次:
首先验证码的作用,是防止自动化脚本绕过直接获取token,在AI时代,传统图片验证码已经百分百可以绕过,原理就是ORC识别,特别是你用杂点,或者色盲内容识别等手段都没用了。
这是我没想到的,因为如果你看过机器人5号的电影,就知道,在之前的人类认知里面,区别AI或者机器人是否有 智慧,就是拿它是否能直接根据实物比如树枝,叶子等形状来想象出像什么。。。
现在的人工智能发展,你看一眼今年的春晚机器人表演,已经灵活到各种武术动作都可以完成了。
也就是说,本身验证码的作用就是为了防止自动化脚本绕过,但AI的加持下,已经完全可以自动完成模拟人类的任何动作。。在nodeseek,已经有人帮忙测试,利用chatgpt的agent模式,就是代理人模式,是完全可以去拖拽,点击网页,几乎跟人类操作一模一样了。
我弄这个验证码并不是重复造轮子。cloudflare的无感验证码,我一开始也是学他的方式。但是人家CF真正厉害的是后端风控,拥有庞大的IP池,区分家庭IP,和高风险IP,以及历史风控记录,配合前端的无感JS来处理验证码的问题。但它是在国外,国内在高峰期很不稳定,有时间JS都加载不出来。。。
而其他的验证码思路,就是靠提高复杂度,比如12306,google,让你去区分或者按它的要求来各种操作,选择不同图片的等等。。。体验感实在太差了。
当然还有一个最强思路就是passkey,生物硬件设备识别,比如指纹。。但由于各大发起机构,比如微软,谷歌都有自己的思路。没有真正统一方案,特别离谱的是微软,还要你插入U盘密钥。。。所以这个思路目前不成熟只能放弃。。
那我就只能用AI打败AI了。。我也利用chatgpt,跟他沟通了好几天,各种方案都在讨论。。。算是AI与AI的攻防战。。。目前最新版本已经让chatgpt的agent 无法自动化绕过了。这在nodeseek已经有网友真实有效防住了chatgpt...
那我现在在hostloc同样也需要收集自动化绕过的测试,需要网友帮忙。。
你也看到:奧巴马 一开始是直接懒得测试,就因为前端在手机端hover体验太差,直接就说我像小学生一样,根本不懂验证码的目的,还说验证码最起码要让人类便利等等。。
但经过我跟他沟通,他也知道我在做什么,也帮忙测试了。
还有nodeseek 也有部分网友,看到有人第一步AI简单就绕过了。就开始嘲讽。。
但我想说,这对于开发者来说有什么意义?意思是没你强?你要表达什么?
所以本身就是自身问题, 我只是提醒了一下网友而已,大家共同讨论一个问题,而我是实践者,你也看到不断进步的过程。有必要发一些废话言论,来表示自己存在感吗?
你也同样可以去测试,逐步提高强度,达到实用性,直接开源发布,大家都能用,不是一件好事吗?
奧巴马 发表于 2026-2-17 21:30
除了先 hover 圆圈,再点击圆圈没实现自动化外(测试太麻烦了,刷新好几次才出现一次,不测试了),都可以,附上 ...
不用测了。。。我自己拿你的脚本思路,还是能绕过获取token,我继续增加强度,如果我自己测试不能绕过,再找你
奧巴马 发表于 2026-2-17 21:30
除了先 hover 圆圈,再点击圆圈没实现自动化外(测试太麻烦了,刷新好几次才出现一次,不测试了),都可以,附上 ...
研究了一个通宵了。。现在的强度应该够了。。如果你有空,再用你的手段测试试试看,能不能绕过。。。。多谢了
mimiphp 发表于 2026-2-18 09:45
研究了一个通宵了。。现在的强度应该够了。。如果你有空,再用你的手段测试试试看,能不能绕过。。。。多 ...
这样就过了
你应该想办法识别我在用webdrive,CF的高级版就能识别. 你可以试试法国签证官方网站. 那个你就必须要篡改JS才能通过.
奧巴马 发表于 2026-2-18 10:14
这样就过了
你应该想办法识别我在用webdrive,CF的高级版就能识别. 你可以试试法国签证官方网站. 那个 ...
好,我拿你的脚本本地测试确实绕过了。。。我再处理加强
奧巴马 发表于 2026-2-18 10:14
这样就过了
你应该想办法识别我在用webdrive,CF的高级版就能识别. 你可以试试法国签证官方网站. 那个 ...
睡觉了,扛不住了。但你提交的两个脚本,我最新版都验证不能绕过了。你有空帮忙再测试强度。
最新版本只是判断出你这个脚本有问题,但还没适配后端,如果你确实没办法绕过了,我才开始适配后端。睡觉了拜拜,新年快乐。。https://dev.locauth.com/public/widget.html
同样不是嘲讽,手动测试三次都是失败的,如果是某个网站接入了这种 captcha,我就不会再访问了。况且,你在这里寻求大家的测试反馈,又不对这些反馈负责,那么你发帖的意义是什么呢?只是宣传推广吗?那么作为一个还在测试开发的产品显然是不够完美的。如果是开源的,那么社区至少还会有反馈的热情,但既然不开源,那么为什么我不去选择其他更成熟的?
本帖最后由 Romeoiii 于 2026-2-18 15:49 编辑
mimiphp 发表于 2026-2-18 02:21
我本来不想回复你的,但既然非要我表达清楚,那我就回复你一次:
首先验证码的作用,是防止自动化脚本绕 ...
难怪别人嘲讽你,你不加第一句话,就不会暴露你的暴躁症与自大,那时我就会很认真的回复你,但是你自大,总认为自己是特殊的,总认为别人要针对你,实际没人"在意"你的大项目,你什么也不说清楚,而有人要求你说清楚,还觉得别人亏欠你,求着你,大过年的没这么多论坛神仙愿意花时间研究你的内容。提醒你下,chatgpt不怎么靠谱,你用claude吧。
本帖最后由 奧巴马 于 2026-2-18 17:25 编辑
mimiphp 发表于 2026-2-18 13:03
睡觉了,扛不住了。但你提交的两个脚本,我最新版都验证不能绕过了。你有空帮忙再测试强度。
最新版本只 ...
同样跟上面两人一样的体验.手动都大概率无法完成验证.手机浏览器测试.电脑没试
奧巴马 发表于 2026-2-18 17:22
同样跟上面两人一样的体验.手动都大概率无法完成验证.手机浏览器测试.电脑没试 ...
https://youke.xn--y7xa690gmna.cn/s1/2026/02/18/699588fceba6a.webp
https://youke.xn--y7xa690gmna.cn/s1/2026/02/18/69958901f2468.webp
我刚睡醒。。。很重要,你又误会了。。我说的只针对前端已经区分出你两次脚本了。。这是个突破。
{
"block": false,
"finalScore": 27,
"motion": {
"bot": false,
"score": 27,
"reasons": [
"integer_coords_weak",
"too_straight",
"tail_insufficient"
],
"feat": {
"dur": 2698.10000000149,
"straightRatio": 1.0153614249858514,
"speedCv": 1.9234829534342086,
"decelRatio": 0,
"microCorr": 0,
"jerkTailRatio": 0,
"angTailRatio": 0,
"endOk": true,
"vMean": 0.8449173278730967,
"vStd": 1.6251840772250836,
"vTailMean": 0,
"vTailStd": 0,
"trustedRatio": 0.9948453608247423,
"sparsity": 0.5535714285714286,
"spikeRatio": 13.79600365674981,
"peakDensity": 0.07142857142857142,
"tailEnergyRatio": 0,
"tailOkBins": false,
"dtCv": 1.3224868433410468,
"stepCv": 1.5270405966360574,
"firstMoveDt": 163.60000000149012,
"earlyMoveCount": 11,
"turnSum": 31.14424875303279,
"endD": 2,
"intRatio": 0.9948453608247423,
"zeroDtRatio": 0,
"tailCount": 6,
"tailLen": 0,
"tailOk": false,
"bezErr": 143.191138489516
}
},
"env": {
"risk": 0,
"flags": []
},
"thr": 74,
"baseThr": 62
}
以上是真人。。。
下面是脚本:
{
"block": true,
"score": 999,
"reasons": [
"navigator.webdriver"
],
"detail": {
"pluginsLen": 5,
"mimeTypesLen": 2,
"langsLen": 1,
"webglVendor": "Google Inc. (NVIDIA)",
"webglRenderer": "ANGLE (NVIDIA, NVIDIA GeForce GTX 1050 (0x00001C81) Direct3D11 vs_5_0 ps_5_0, D3D11)"
}
}
意思是,你真人或者电脑,去拖拽,你看到绿色的字,拖拽完成,可以验证。
而自动脚本,直接就监测到环境异常。。
但 不要去点击获取token,这是后端签发token的步骤。。。。我睡觉前,还没有弄好,因为版本迭代太多了。我换了思路,必须前端就先识别脚本。。。
