في الآونة الأخيرة، تختبر جوجل ميزة جديدة لتعزيز التحقق من reCAPTCHA - "التحقق من إيماءات اليد" (HGV)، والتي تجمع مقاطع فيديو لأيدي المستخدمين لتحديد ما إذا كانوا أشخاصًا حقيقيين. ومع ذلك، سرعان ما أثارت هذه الميزة الجدل فيما يتعلق بالخصوصية والأمان.

وفقًا لوثائق Google الرسمية، يتطلب HGV من زوار موقع الويب منح حق الوصول إلى كاميرا أجهزتهم لتسجيل مقطع فيديو "واحد أو أكثر" باليد. أثناء عملية التحقق، يحتاج المستخدم إلى التلويح أو القيام بإيماءة معينة أمام الكاميرا، وسيقوم النظام باستخراج الخصائص البيومترية الرئيسية لتحديد ما إذا كان المشغل إنسانًا وليس نصًا آليًا أو روبوتًا.

تعتقد Google أن طريقة تحديد الهوية القائمة على القياسات الحيوية يمكن أن تحسن أمان reCAPTCHA، لكن نتائج الاختبار الفعلية تظهر أن HGV لم يحقق النتائج المتوقعة. نجح الباحثون الأمنيون والمستخدمون العاديون في استخدام الصور المخزنة ووظائف الكاميرا الافتراضية لتجاوز هذا النظام: يحتاج المهاجم فقط إلى إعداد "التلويح" أو صورة اليد المقابلة للحركة، ويمكن إكمال التحقق من خلال إخراج الكاميرا الافتراضية لبرنامج مثل OBS Studio، دون الحاجة إلى كاميرا حقيقية وشخص حقيقي للتعاون.

مع تقدم التعلم الآلي وتكنولوجيا الأتمتة، كثيرًا ما يتم "كسر" أنظمة رموز التحقق الحالية بواسطة روبوتات الذكاء الاصطناعي. أظهرت دراسات متعددة أن رموز التحقق الرسومية التقليدية مثل التعرف على إشارات المرور المعقدة يمكن حلها بواسطة أدوات آلية في معظم الحالات. تسلط حالات الفشل المبكرة لشركة HGV الضوء أيضًا على أنه حتى لو تم تقديم القياسات الحيوية، وإذا كانت عملية التفاعل والقناة نفسها تفتقر إلى تصميم مضاد للتزييف، فقد يتم أيضًا تجاوزها على دفعات بواسطة الكاميرات الافتراضية والصور المخزنة والنصوص البسيطة.

بالإضافة إلى الفعالية التقنية، أصبحت قضايا الخصوصية أيضًا موضع جدل. يشير النقاد إلى أن مخططات التحقق هذه المستندة إلى الكاميرات والقياسات الحيوية ستعمل بشكل غير مرئي على "تطبيع" المراقبة المستمرة لخلفية المستخدمين، مما يسمح للمستخدمين بفتح بيانات الكاميرا الأكثر حساسية لشركات التكنولوجيا الكبيرة من أجل الوصول إلى مواقع الويب العادية. في البيئة الحالية التي تتسم بحساسية متزايدة للخصوصية، من المرجح أن يعتبر مطالبة المستخدمين بتقديم صور أو مقاطع فيديو حية بشكل متكرر بمثابة جمع بيانات مفرط.

ردًا على الشكوك الخارجية، ذكرت جوجل أن HGV يستخدم فقط للتعرف على الإيماءات عند تسجيل مقاطع الفيديو، ولن يجمع المحتوى الصوتي أو يعالجه، وأنه سيتم "حذف الفيديو في أقرب وقت ممكن" بعد اكتمال التحقق. وشددت المذكرة الرسمية أيضًا على أن مقاطع الفيديو هذه "لن" يتم ربطها بشكل مباشر بهوية المستخدم. ومع ذلك، يعتقد بعض خبراء الأمن والخصوصية أن هذا الالتزام يصعب إزالة الشكوك - فمن ناحية، لا يستطيع المستخدمون العاديون التحقق من سياسة الاحتفاظ بالبيانات الفعلية للنظام الخلفي؛ من ناحية أخرى، غالبًا ما تحتوي البنية التحتية السحابية للمنصات الكبيرة على آليات احتياطية زائدة وآليات التعافي من الكوارث، وقد تكون دورة حياة البيانات الفعلية أكثر تعقيدًا بكثير مما تعرضه الواجهة الأمامية.

وهذا القلق ليس بلا أساس. في حالة سابقة رفيعة المستوى، تم استرداد مقطع فيديو "محذوف" من كاميرا Google Nest من النظام السحابي واستخدامه للمساعدة في التحقيق في حادثة اختطاف شديدة الخطورة. ويُنظر إلى هذه الحالة كدليل على أنه حتى لو تم حذف المحتوى المعروض على الواجهة الأمامية، فقد يظل النظام الخلفي يحتفظ بنسخة من البيانات المقابلة في ظل ظروف معينة. لذلك، تساءل النقاد عما إذا كان سيتم أيضًا الاحتفاظ ببيانات الفيديو المسجلة بواسطة المركبات الثقيلة في سيناريوهات معينة أو استخدامها لتدريب نماذج مختلفة بما في ذلك جيميني، وبالتالي تضخيم مخاطر الخصوصية المحتملة.

مع استمرار نمو حركة المرور الآلية وأنشطة الروبوتات الضارة، من الواضح أن تطور تقنية CAPTCHA لا يزال يمثل مشكلة مهمة تواجه المنصات الرئيسية. ومع ذلك، انطلاقًا من الأداء المبكر للمركبات الثقيلة، فإن إدخال الكاميرات والقياسات الحيوية وحده لا يمكن أن يضمن مستوى أعلى من الأمان. وبدلاً من ذلك، قد يعرض المستخدمين لمخاطر خصوصية أكبر مقدمًا عندما لا تكون التكنولوجيا ناضجة بعد. في حين أن اللاعبين في الصناعة، بما في ذلك Cloudflare والشركات المصنعة للمتصفح، يستكشفون بنشاط حلول "de-captcha" لتقليل احتكاك المستخدم، فإن كيفية تحقيق التوازن بين الأمان ومنع إساءة الاستخدام وحماية الخصوصية أصبحت مشكلة يجب أن تواجهها الصناعة بأكملها.