Google reCAPTCHA с жестами рукой обошли стоковой фотографией

Google начала тестировать новый формат reCAPTCHA с проверкой жестами рукой в середине июня, а через несколько недель пользователи показали способ обхода этой защиты обычной фотографией. Система Hand Gesture Verification просит включить камеру и повторить жест с картинки, например поднять ладонь или помахать рукой. Предполагалось, что такой сценарий усложнит жизнь ботам, которые уже научились проходить классические капчи с текстом и изображениями.
Схему обхода опубликовал пользователь X. Он подал в форму не изображение с веб-камеры, а стоковую фотографию человека с поднятой рукой через OBS Virtual Camera, которая позволяет подменять видеосигнал любой картинкой или роликом. Со второй попытки reCAPTCHA пропустила его на сайт.
Журналист Neowin повторил эксперимент и получил тот же результат. По его словам, сработало не сразу: понадобилось несколько снимков и несколько попыток, а изображение пришлось двигать внутри кадра. Тем не менее система в итоге приняла статичную фотографию за живое действие.
Google описывает новый механизм как более удобную альтернативу привычным заданиям с выбором светофоров, витрин или мотоциклов. Компания утверждает, что короткое видео анализирует ИИ, а запись не сохраняется и удаляется сразу после проверки. Для сайтов это выглядит как попытка вернуть reCAPTCHA точность в условиях, когда генеративные модели и сервисы распознавания всё лучше справляются с визуальными тестами.
Проблема для Google не новая. Ещё в 2023 году исследователи и разработчики показывали, что большие языковые модели и связки с системами компьютерного зрения решают часть CAPTCHA-задач на уровне, достаточном для практического обхода. На этом фоне рынок сдвинулся в сторону менее заметных проверок: Cloudflare продвигает Turnstile без явных заданий для пользователя, а hCaptcha делает ставку на поведенческие сигналы и коммерческую защиту от автоматизации.
Для Google история неприятна ещё и потому, что reCAPTCHA давно стала инфраструктурным инструментом за пределами собственных сервисов компании. Версия v3, представленная в 2018 году, вообще отказалась от видимых тестов в пользу скоринга риска в фоне. Новый эксперимент с жестами, судя по первым тестам, возвращает в процесс человека и камеру, но не гарантирует, что перед системой действительно живой пользователь, а не удачно подобранная картинка.
Если Hand Gesture Verification дойдёт до широкого запуска, Google, вероятно, придётся добавлять проверки на глубину кадра, микродвижения или признаки подмены видеопотока. Иначе у сайтов появится ещё одна капча, которую можно пройти набором стоковых фото и OBS, а не человеком перед камерой.



