Man kennt doch noch diese ganzen „Ich bin ein Mensch“-Checkboxen, die manchmal einfach nur in den Cookies nachkucken und manchmal ein Raster mit neun Bildern anzeigt, bei denen man dann raten darf, wo ne Ampel drauf ist? Oder so seltsame verhaute Buchstaben, bei denen man zwei Versuche braucht, bis man weiß, was gemeint ist?
Ich hatte auf Oly-E mal einen Captcha, bei dem man eine Rechenaufgabe lösen musste. Zwei einstellige Zahlen addieren oder subtrahieren. Die Zahlen als Text. Nach einem Jahrzehnt hat ein Bot diese Schranke überwunden, also habe ich die Aufgabe schwieriger gemacht. Zahlen bis Zwölf. Schon war wieder Ruhe.
Die Google-Bildcaptchas dienen ja dazu, die KI von Google zu trainieren. Nicht etwa, die Webseiten abzusichern. Die sind schon seit zehn Jahren kein Hindernis mehr für Bots. Man hat schon damals Werbemails bekommen, dass der Absender die Captchas gehackt habe, man das gerne ausprobieren dürfe und man für zehntausend Spampostings bitte Euro 50 abdrücken solle, mit garantierter Reichweite.
Nun hat die Universität von Kalifornien das mal ausprobiert und festgestellt: Bots schaffen zwischen 85 und 100% der Captchas im ersten Anlauf innerhalb einer Sekunde. Menschen schaffen 50 bis 84% – innerhalb von 12 Sekunden.
Die Wahrscheinlichkeit, dass man KEIN Mensch ist, wenn man das Captcha schafft, ist also erheblich größer als umgekehrt…
Man sieht: Die KI ist hervorragend dazu geeignet, Probleme zu lösen, die sie selbst gestellt hat.
Naja, ist doch eigentlich kein Problem. Wer das Captcha zu schnell löst, ist offensichtlich genausowenig ein Mensch wie jemand, der es gar nicht löst. Klappt so lange, bis die Bot-Autoren eine Kunstpause einbauen, um menschlicher zu scheinen, was höchstwahrscheinlich sehr bald passieren wird, falls es noch nicht gemacht wurde.
Ich verwende auf meinen Webseiten bei denjenigen Formularen, die besonders bot-anfällig sind, in der Regel eine Kombination von Techniken – außer einem “domänenspezifischen Captcha” gerne ein oder zwei “Honigtopf”-Formularfelder, die für per CSS für Menschen unsichtbar gemacht werden und die Anfrage sofort disqualifizieren, wenn ein Bot trotzdem irgendwas dort einträgt. Funktioniert soweit blendend, da die Bots nichts von CSS wissen und meine Webseiten für Bots so uninteressant sind, dass Spezialprogrammierung sich nicht lohnt.