Durante anos, o CAPTCHA (sigla para Completely Automated Public Turing test to tell Computers and Humans Apart) foi uma ferramenta comum na navegação online. Quem nunca teve que identificar imagens de semáforos, digitar letras distorcidas ou clicar em caixas de seleção para provar que era humano?
Originalmente criado para diferenciar pessoas de bots, o CAPTCHA passou por diversas versões. A primeira, com textos distorcidos, foi usada por plataformas como PayPal e Yahoo para impedir acessos automatizados. Mais tarde, a versão reCaptcha da Google incorporou imagens e até ajudava a treinar algoritmos de reconhecimento, contribuindo com projetos como a digitalização de livros e a melhoria do Google Maps.
Com o tempo, no entanto, esses testes passaram a gerar frustração nos usuários, principalmente pela complexidade crescente das tarefas. Como mostra a reportagem da WIRED, alguns desafios chegaram ao ponto de exigir que se identificassem “cachorros sorrindo” ou se movimentasse peças específicas da tela, como deslizar uma cueca para o local correto em um site de encontros.
O declínio do CAPTCHA tradicional
O desaparecimento progressivo dos CAPTCHAs tradicionais não é por acaso. A mudança é resultado de uma transição tecnológica mais ampla. Em 2018, a Google lançou o reCaptcha v3, que eliminou a necessidade de interações diretas com o usuário. Em vez de apresentar um desafio, o sistema passou a analisar padrões de comportamento em tempo real, atribuindo um “score de risco” que permite aos sites decidirem se o visitante deve ou não passar por validações adicionais.
Esse modelo “invisível” foi posteriormente complementado por outras soluções, como o Turnstile da Cloudflare, lançado em 2022. Apesar de manter um formato visual simples, como uma caixa de seleção, o Turnstile também coleta dados sobre o dispositivo e o software do usuário para distinguir humanos de bots sem a necessidade de tarefas complexas.
Segundo Reid Tatoris, da equipe de segurança da Cloudflare, citado na WIRED, a decisão de oferecer o Turnstile gratuitamente tem como objetivo coletar grandes volumes de dados de comportamento, essenciais para o aprimoramento do sistema. Atualmente, a empresa afirma visualizar cerca de 20% de todo o tráfego HTTP da internet.
O futuro dos testes de verificação
Apesar da tendência à invisibilidade, os testes não desapareceram completamente, e quando surgem, podem parecer excêntricos. Algumas soluções mais recentes, como a da Arkose Labs, focam em tornar os ataques automatizados economicamente inviáveis, oferecendo desafios personalizados e mais demorados. Em vez de barrar o usuário comum, o objetivo é desincentivar economicamente tentativas de fraude.
Há também iniciativas que propõem desafios impossíveis para sistemas de inteligência artificial, como imagens surreais com elementos confusos, por exemplo, um sapo com cabeça de pássaro refletindo um cavalo na água. “Você derrota um modelo de linguagem ao apresentar algo que ele nunca viu antes”, explicou Kevin Gosschalk, CEO da Arkose Labs, à WIRED.
Para o Google, os desafios visuais ainda devem existir, mas de maneira mais pontual. Segundo Tim Knudsen, da Google Cloud, o objetivo é aplicar “fricção sem confundir o usuário”, com testes que podem incluir leitura de QR codes ou gestos manuais.
Como aponta a reportagem da WIRED, é improvável que os testes visuais desapareçam totalmente, mas sua presença será cada vez mais rara e, quando ocorrer, talvez mais estranha do que útil.
