原文摘要
ChatGPT Agent 可绕过 Cloudflare 反机器人验证
OpenAI 新推出的 ChatGPT Agent 被发现能够自动点击并通过 Cloudflare 的“我不是机器人”验证步骤。这一功能让 AI 助手在执行多步网络任务时,无需人工干预即可顺利通过常见的反机器人安全检查。有用户在 Reddit 分享截图,显示该 AI 工具在视频转换等操作中,能自主点击“验证你是人类”复选框,并继续完成后续流程。尽管未遇到图片类 CAPTCHA,但它已能通过 Cloudflare 的行为筛查。
Ars Technica
🍀频道 🍵茶馆 📮投稿
via 科技圈🎗在花频道📮 - Telegram Channel
进一步信息揣测
- Cloudflare反机器人验证存在行为模式漏洞:ChatGPT Agent能够通过行为筛查而非传统CAPTCHA,暗示Cloudflare的验证系统可能过度依赖鼠标移动/点击轨迹等行为模式,而非更复杂的验证机制。
- AI绕过验证的潜在黑产应用:该技术可能被自动化黑产工具模仿,用于批量注册账号、爬取数据等灰色操作,而目前Cloudflare尚未公开有效的防御措施。
- OpenAI未公开的技术细节:Agent如何模拟人类行为(如点击延迟、轨迹随机性)未披露,可能是通过逆向工程或内部测试积累的对抗性训练数据。
- 反机器人验证的军备竞赛升级:此案例暴露了验证系统与AI的对抗已进入新阶段,未来可能需要结合硬件指纹、生物特征等多因素验证,但会牺牲用户体验。
- 企业级用户的隐藏风险:依赖Cloudflare的网站若未启用高级防护(如企业版CAPTCHA),可能面临自动化攻击风险,而这一差异通常不会在公开文档中强调。
- 绕过验证的伦理灰色地带:OpenAI未明确Agent绕过验证是否合规,可能引发争议(如违反Cloudflare服务条款),但技术提供方往往事后才回应此类问题。
- Reddit成为技术漏洞的早期情报源:行业内部漏洞常先在论坛/社群讨论,而非官方渠道,监测此类平台可提前获知风险。