An manchen Tagen frage ich mich, ob ich ein Bot bin. Das Problem sind CAPTCHAs, diese kleinen Online-Herausforderungen, die Sie auf Websites bestehen müssen, um zu beweisen, dass Sie ein Mensch sind. Wenn eines auf meinem Bildschirm erscheint, neige ich dazu, viel zu viel Zeit damit zu verbringen, auf das Raster aus neun Bildern zu schauen und auf die Bilder mit einer Ampel, einem Fußgängerüberweg oder einem Fahrrad zu klicken … nur um das Bild in der unteren rechten Ecke zu übersehen das sieht kaum aus wie ein Fahrrad. In letzter Zeit musste ich einen 3D-Vogel so drehen, dass er in die gleiche Richtung blickte, in die eine Hand zeigt, was eigentlich einfach sein sollte, es aber irgendwie nicht ist. CAPTCHA steht für „Completely Automated Public Turing test to tell Computers and Humans Apart“, also wenn ich sie ständig durcheinander bringe, dann bin ich es deutlich ein Computer (meine Frau, mein Haus und meine Katze müssen alle eingepflanzte Erinnerungen sein).
CAPTCHAs existieren nicht, um uns an unserer Menschlichkeit zweifeln zu lassen. Dabei handelt es sich um Tore, die Spammer, Hacker und verschiedene andere Idioten davon abhalten sollen, Websites mit Bots zu überfluten oder auszutricksen. Diese Kriminellen möchten vielleicht automatisch gefälschte Kommentare posten, Kreditkarteninformationen stehlen oder sich Taylor-Swift-Tickets schnappen, bevor Sie es können. In den meisten Fällen erfüllen CAPTCHAs ihren Zweck: Bevor ich eines zum Kontaktformular auf meiner persönlichen Website hinzugefügt habe, erhielt ich endlose E-Mails mit Rabatt-Steroiden und anderen „nützlichen“ Angeboten. Nun, das kommt selten vor.
Sie haben wahrscheinlich bemerkt, dass CAPTCHAs immer schwieriger werden. Was als seltsame Buchstabenfolgen begann, die man ohne langes Nachdenken tippen konnte, hat sich in Bilder verwandelt, die immer schwerer zu identifizieren sind. Und das ist, bevor wir mit der Tierrotation beginnen, die ich beim ersten Versuch noch nicht hinbekomme. Da wir das Jahr 2023 schreiben, fragen Sie sich vielleicht, ob die KI für all das verantwortlich ist. Und es ist. Arkose Labs, das Unternehmen, das das Tier-Rotationspuzzle herstellt, sagt auf seiner Website, dass das System „iterat“ sei[ed] gegen maschinelles Lernen“, was bedeutet, dass dieses Foltergerät speziell dafür entwickelt wurde, dass Bots andere CAPTCHAs lösen können. Dass man das Tier drehen muss, ist das Ergebnis einer Welt, in der KI noch mehr menschliche Aufgaben übernehmen kann. Arkose Labs und die vielen anderen Unternehmen, die verschiedene Arten von CAPTCHAs herstellen, können nur mithalten, indem sie immer schwierigere Rätsel entwickeln. Irgendwann, wenn dies nicht möglich ist, könnten CAPTCHAs zum Scheitern verurteilt sein.
Ein klassisches Sprichwort aus der Geschäftswelt lautet etwa so: „Schnell, günstig oder gut – Sie können sich für zwei entscheiden.“ Die schnelle Reparatur eines Autobrunnens wird nicht billig sein; Eine schnelle und kostengünstige Reparatur eines Autos führt zu minderwertiger Arbeit. „Man kann die gleiche Logik auf CAPTCHAs anwenden“, sagte mir Jeff Yan, Professor für Informatik an der University of Strathclyde in Schottland, der sich mit dieser Technologie beschäftigt hat. Jedes CAPTCHA versucht, drei Faktoren in Einklang zu bringen: Sicherheit, Benutzerfreundlichkeit und Genauigkeit. Von diesen drei Dingen denken die meisten Menschen an die Benutzerfreundlichkeit: Ein CAPTCHA muss für ein breites Spektrum von Menschen mit unterschiedlichen Fähigkeiten relativ schmerzlos zu lösen sein. Je einfacher Sie jedoch die Lösung des Rätsels gestalten, desto wahrscheinlicher ist es, dass Bots es lösen können – Sie müssen sich also auch auf den Aufbau eines präzisen Systems konzentrieren. Und dann ist da noch die Sicherheit: Ein CAPTCHA muss so gestaltet sein, dass niemand das System hacken und es vollständig umgehen kann. „Jedes dieser drei Dinge ist eine Herausforderung“, sagte Yan. „KI macht [them] noch schwerer.”
All dies könnte bedeuten, dass CAPTCHAs weniger benutzbar werden müssen, um sicher zu bleiben. Es ist kein neues Problem. CAPTCHAs sind seit der Einführung des Begriffs an der Carnegie Mellon University in den frühen 2000er Jahren, wenn nicht sogar noch länger, in einem Wettrüsten gegen die Maschinen verwickelt. Der frühe Ansatz, der auf einer Zeichenfolge verzerrten Textes basierte, wurde entwickelt, weil Computer die Zeichen nicht identifizieren konnten. Google kaufte schließlich reCAPTCHA, ein von denselben Forschern gegründetes Unternehmen, auch weil dieses System einen weiteren Vorteil hatte: Die Menschen, die die CAPTCHAs lösten, halfen bei der Digitalisierung von Büchern. Wenn ein Computer ein Wort nicht lesen könnte, stopfte Google es in ein CAPTCHA und überließ uns die Arbeit. Aber schon bald könnten die Maschinen Text mit nahezu perfekter Genauigkeit analysieren, was zu einer Wende hin zur Bilderkennung führen würde. Bots wurden dann schnell besser darin, Bilder zu erkennen, was zu CAPTCHAs mit seltsameren Fotos und Aufgaben führte.
In einer aktuellen Studie von Forschern der UC Irvine und Microsoft benötigten die meisten der 1.400 menschlichen Teilnehmer 15 bis 26 Sekunden, um ein CAPTCHA mit einem Bildraster mit einer Genauigkeit von 81 Prozent zu lösen. Ein im März 2020 getesteter Bot konnte unterdessen ähnliche Rätsel in durchschnittlich 19,9 Sekunden und mit einer Genauigkeit von 83 Prozent lösen. Die Studie ergab, dass die Maschinen bei den meisten Arten von CAPTCHAs bereits besser und schneller sind als wir, und das noch bevor man bedenkt, wie schnell die KI voranschreitet. In der Testphase von GPT-4 Anfang dieses Jahres löste das Modell ein CAPTCHA, indem es einen echten TaskRabbit-Mitarbeiter kontaktierte und anstellte. Jetzt, da GPT-4 es kann sehenOpenAI sagt, dass es diese Rätsel gelöst hat, ohne überhaupt menschliche Hilfe zu benötigen.
Das Unternehmen verfügt über Sicherheitsvorkehrungen, die Sie davon abhalten, tatsächlich einen Chatbot zum Lösen eines CAPTCHAs zu verwenden. Sie sind nicht narrensicher, aber sie zu umgehen, wäre für jeden Spammer, dessen Ziel es ist, schnell viele Rätsel zu lösen, eine schreckliche Zeitverschwendung. Eine Reihe von Unternehmen bieten Dienstleistungen an, die genau das vorgeben. 2Captcha wird tausend CAPTCHAs für einen Dollar lösen und dabei menschliche Arbeitskräfte einsetzen, die nur 50 Cent pro Stunde bezahlen. Neuere Unternehmen wie Capsolver behaupten, stattdessen KI zu verwenden und verlangen ungefähr den gleichen Preis. Der Unterschied liegt angeblich in der Geschwindigkeit: Capsolver behauptet, dass seine Modelle CAPTCHAs viel schneller lösen können als Menschen.
Es liegt an den CAPTCHAs, Schritt zu halten. Der beliebteste Typ, Googles reCAPTCHA v3, sollte größtenteils in Ordnung sein. Es stellt normalerweise Ihre Menschlichkeit fest, indem es Ihre Aktivitäten auf Websites überwacht, bevor Sie überhaupt auf das Kontrollkästchen klicken, und es mit Modellen „organischer menschlicher Interaktion“ vergleicht, sagte mir Jess Leroy, Senior Director für Produktmanagement bei Google Cloud, der Abteilung, zu der auch reCAPTCHA gehört . Viele andere Unternehmen versuchen, ähnliche, hauptsächlich nicht interaktive Taktiken zur Erkennung von Bots anzuwenden. „Ein legitimer Benutzer besucht normalerweise die Homepage, klickt auf eine Anmeldeschaltfläche, gibt seine Anmeldeinformationen ein und geht dann beispielsweise zum Bezahlen seiner Rechnung“, sagte Leroy. „Ein Angreifer hingegen wird, entweder indem er Menschen anheuert oder Bots schreibt, viele verschiedene E-Mail- und Passwort-Kombinationen ausprobieren.“ Die Idee: Ob ein Bot oder ein Mensch versucht, sich mit mehreren Passwörtern anzumelden, spielt keine große Rolle – es ist so oder so unklar.
Laut Leroy ist die Aktivitätsüberwachung bereits häufiger anzutreffen als die visuellen Herausforderungen von reCAPTCHA, aber dennoch „wird es in absehbarer Zukunft weiterhin visuelle Herausforderungen geben“, sagte er. Das Tracking ist nicht perfekt, daher zeigt Google Ihnen möglicherweise immer noch ein traditionelles Raster aus verschwommenen Fahrrädern an. Ich habe dies auf meiner eigenen Website getestet. Wenn ich direkt zur Kontaktseite gehe und auf das CAPTCHA-Häkchen klicke, bevor ich etwas anderes tue, wird mir ein visueller Test angezeigt. Wenn ich jedoch eine Weile auf der Website stöbere, muss ich nur das Kontrollkästchen aktivieren – es ist kein Test erforderlich.
Das Wettrüsten geht also weiter. Aber ein CAPTCHA-Fehler ist nicht nur ärgerlich – es hält Menschen auch davon ab, im Internet zu navigieren. Laut den Forschern der UC Irvine können ältere Menschen deutlich mehr Zeit brauchen, um verschiedene Arten von CAPTCHAs zu lösen, und andere Untersuchungen haben ergeben, dass das Gleiche auch für Nicht-Muttersprachler des Englischen gilt. Der Ärger kann dazu führen, dass ein erheblicher Teil der Benutzer einfach aufgibt. „Es kommt auf den Zugang an“, sagte mir Wendy Reid, Leiterin für Barrierefreiheit und Veröffentlichungsstandards bei Rakuten Kobo. Das Unternehmen vertreibt E-Books und E-Reader und nutzt CAPTCHAs unter anderem zur Bestätigung neuer Konten. „Wenn Sie ein CAPTCHA nicht bestehen und diese Systeme nicht glauben, dass Sie ein Mensch sind, können Sie nicht hineinkommen“, sagte Reid. Zum Beispiel: CAPTCHAs bieten normalerweise Audio-Herausforderungen für blinde Benutzer, aber was ist, wenn jemand sowohl blind als auch taub ist? Das von Rakuten Kobo verwendete System hCAPTCHA hat einen Rückfall: Benutzer können ihre E-Mail-Adresse angeben, die zur Bestätigung ihrer Identität verwendet wird. Dies stellt jedoch für einige Benutzer ein Datenschutzproblem dar, die lieber keine E-Mail-Adresse angeben würden. Sie verstehen: Es gibt keine perfekte Lösung.
Aber die Rätsel sind zwar mittlerweile seltener geworden, haben sich aber seit 2003 nur geringfügig verändert. „Die meisten CAPTCHAs folgen immer noch alten Paradigmen“, erzählte mir Yan. „Zwanzig Jahre später sind die Prinzipien größtenteils dieselben geblieben.“ Jedes System basiert auf der Identifizierung von etwas – Text, Bildern, Tierrichtung. Wenn „Aktivitätsüberwachung“ nicht in jedem Fall funktionieren könne, sei es vielleicht Zeit für etwas ganz anderes, sagte Yan: „Es gibt Probleme, die nicht durch KI-Technologie gelöst werden können. KI kann sich zum Beispiel nicht an einem Gespräch beteiligen, wie wir es führen.“ Ich für meinen Teil hoffe, dass ich nicht jedes Mal ein Gespräch mit einem Menschen führen muss, wenn ich mich bei einem Konto anmelden möchte, aber ich verstehe, was Yan vorschlägt: Es gibt immer noch Möglichkeiten, Menschen anhand der Maschinen zu identifizieren. Aber mit der Verbesserung der KI gibt es möglicherweise weniger Möglichkeiten und vor allem weniger Möglichkeiten, die schnell auf Ihrem Laptop umgesetzt werden können.
Im Gegensatz zu den vielen anderen Aspekten des Lebens, die mit demselben KI-Rätsel ringen – Wissenschaft, Codierung, Veröffentlichung – besteht der einzige Zweck von CAPTCHAs darin, Bots von Menschen zu trennen. Forscher sind hochmotiviert, schnell und einfach etwas herauszufinden, was Menschen besser können als Computer. Früher war das das Lesen von kritzelndem Text; dann ging es darum, Bilder zu identifizieren; Nun handelt es sich offenbar um eine Kombination aus Überwachung und rotierenden Tieren. Welches CAPTCHA auch immer als nächstes kommt, es könnte lästiger sein und zu noch mehr Fluchen führen, wenn es auf meinem Computerbildschirm erscheint. Aber was diese nächste lästige kleine Aufgabe ist, wird etwas darüber verraten, was es bedeutet, ein Mensch zu sein. Es ist viel weniger ärgerlich als eine Welt, in der es solche Aufgaben nicht mehr gibt.