風格轉換式驗證碼 (Style Transfer-based CAPTCHA)

  CAPTCHA 設計從「製造視覺噪音」到「利用 AI 模型弱點」的兩個重要發展階段。

研究介紹

1. 馬軍等人：基於「對抗性樣本 (Adversarial Example)」的驗證碼

• 核心概念： 這項研究的靈感來源於深度學習領域一個著名的發現：在原始圖像中加入一個經過精心設計、人眼幾乎無法察覺的「極小擾動」(minimal perturbation)，就能讓頂尖的深度學習圖像識別模型做出完全錯誤的判斷。這種被修改過的圖像就被稱為「對抗性樣本」。

• 如何應用於 CAPTCHA： 馬軍等研究者將這個概念應用於驗證碼。他們生成的驗證碼圖像看起來與傳統的驗證碼非常相似，甚至更清晰。但實際上，圖像中已經被疊加了一層微弱的「對抗性噪音」。

• 策略特色：

  • 對人類友好：對人類使用者來說，這種擾動幾乎不存在，文字清晰可辨，完全不影響作答。

  • 對 AI 致命：然而，對於依賴深度學習（特別是卷積神經網絡 CNN）進行破解的自動化程式而言，這層擾動會直接攻擊其模型的決策邊界，導致辨識準確率從接近 100% 驟降到極低的水平。

  • 攻擊的精準性：它不是隨機加入噪音，而是針對主流破解模型（如 ResNet, VGG 等）的結構弱點去「量身打造」干擾，是一種非常聰明且高效的防禦手段。

2. Ray 等人：「風格轉換式驗證碼 (Style Transfer-based CAPTCHA)」

• 核心概念： 此方法利用了另一項流行的深度學習技術——「神經風格轉換 (Neural Style Transfer)」。該技術可以將一張內容圖像（如文字）的「內容」和另一張風格圖像（如梵谷的《星夜》）的「風格」結合起來，生成一張帶有藝術風格的新圖像。

• 如何應用於 CAPTCHA：

  1. 生成原始的文字圖像。

  2. 選擇一張藝術作品（如油畫、素描）作為風格來源。

  3. 使用神經風格轉換模型，將文字圖像轉換成帶有該藝術風格的圖像。

  4. 最後，再疊加上一些傳統的干擾，如隨機的線條或形狀。

• 策略特色：

  • 破壞預處理：傳統的破解機器人通常會先對驗證碼進行「去噪」、「濾波」等預處理，試圖還原出乾淨的文字。但「風格轉換」產生的紋理是全局性的、有結構的，而非簡單的隨機噪音。傳統的濾波器不僅無法去除這種「風格噪音」，反而可能讓圖像變得更難辨識。

  • 對抗去噪模型：即使攻擊者使用預先訓練好的 AI 去噪模型，也很難應對這種千變萬化的藝術風格，因為模型很難學習到如何從抽象畫風格中「還原」出標準字體。

  • 人類的魯棒性：人類的大腦非常擅長從抽象和藝術化的圖像中辨識出物體和文字的輪廓，因此這種干擾對人類的影響相對較小。

---

CAPTCHA 圖像干擾策略的發展特色列表

以下將 CAPTCHA 的圖像干擾策略按照其發展脈絡和技術複雜度，歸納為幾個階段的特色：

發展階段	策略名稱	主要技術與特色	干擾目的	對人類的影響
第一階段：早期基礎干擾	1. 字元扭曲與變形	• 將文字進行隨機的旋轉、縮放、拉伸、錯位。 • 這是最早期、最基礎的干擾方式。	使字元脫離標準字庫的樣貌，增加模板匹配的難度。	輕微影響，但若扭曲過度會造成辨識困難。
	2. 背景噪音與雜點	• 在背景中加入隨機的像素點、斑塊或漸層色。 • 目的是讓字元與背景的分離變得困難。	混淆破解程式的前景（文字）與背景（噪音）分離演算法。	中度影響，複雜的背景會干擾視線。
	3. 干擾線與弧線	• 在文字前方或後方疊加隨機的直線、曲線或弧線。 • 有時線條會與文字顏色相同，造成黏連。	切割字元，讓基於輪廓或連通信域分析的分割演算法失效。	中度影響，線條穿過文字時可能造成誤判。
第二階段：增強與複合干擾	4. 字元黏連與重疊	• 故意讓相鄰的字元部分重疊或接觸。 • 這是針對「字元分割」弱點的強化手段。	使破解程式無法準確地將單一字元從字串中切割出來。	較大影響，人類也需要花更多時間來分辨黏連的字元。
	5. 顏色與亮度混淆	• 使用多種顏色或漸變色來渲染文字。 • 降低文字與背景之間的對比度。	對抗基於二值化（黑白化）的圖像預處理步驟。	輕微影響，只要對比度尚可，人類基本不受影響。
	6. 動態驗證碼 (GIF)	• 將上述干擾（扭曲、線條）以 GIF 動畫形式呈現。 • 每一幀的干擾都不同。	增加破解的複雜度，需要分析多幀圖像而非單一靜態圖。	較大影響，需要等待動畫播放才能看清所有字元，較為耗時。
第三階段：基於 AI 模型的現代干擾	7. 風格轉換式干擾 (Ray 等人)	• 使用神經風格轉換，將文字藝術化（如油畫、素描風）。 • 創造出全局性、有結構的複雜紋理。	使傳統濾波器和預訓練的 AI 去噪模型失效，無法還原乾淨圖像。	影響因人而異，但普遍仍可辨識，甚至覺得有趣。
	8. 對抗性樣本攻擊 (馬軍等人)	• 在清晰的驗證碼中疊加人眼無法察覺的微弱擾動。 • 這種擾動是針對特定 AI 破解模型的數學弱點而設計。	直接攻擊 AI 模型的決策核心，使其產生錯誤分類，而非僅干擾圖像本身。	幾乎無影響。這是其最大的優點，實現了對 AI 精準打擊，同時對人類極度友好。

總結

CAPTCHA 的干擾策略，從最初只是簡單地在圖像上「做加法」（加線條、加噪點），演變到中期針對破解流程中的特定步驟（如二值化、字元分割）進行「精準破壞」。而如今，隨著攻防雙方都開始運用 AI 技術，干擾策略已進入了一個全新的維度——不再是單純比誰的圖像處理技術更高明，而是演變成一場圍繞著 AI 模型本身弱點的「神經網路攻防戰」。風格轉換和對抗性樣本正是這場新戰爭中的代表性策略。