验证码：从安全卫士到数字酷刑的25年演变

或许你未曾料到，人类竟被一枚小小的验证码折磨得几近崩溃。你是否曾遇到过这样的情况：急着登录某个App，却左等右等等不来验证码；好不容易收到了，刚输完就弹出“验证码已过期”；更让人抓狂的是，有时候验证码还被手机管家当作垃圾短信拦截，翻遍短信箱才找到。

换成生物识别吧，对着屏幕调整了半天角度，张嘴、眨眼、摇头、点头……像演哑剧一样折腾半天，最后却收到一句冷冰冰的提示：“刷脸失败次数过多，请明日再试。”

换成人脸识别，对着屏幕调整了N次角度，张嘴、眨眼、摇头、点头...像智障一样一顿操作之后，却等来了一句：

“刷脸失败次数过多，请明日再试。”

这绝不是你一个人的噩梦。每天，全球数亿人都在重复类似的“人机考试”：登录社交账号要验证，打开软件要验证，连出停车场都得输验证码，只为证明“自己不是机器人”。据统计，全体人类每天耗费在输入验证码上的时间总计约50万小时，而一个人活到80岁，一生也不过70万小时左右。

无数人的时间和脑细胞就这样消耗在这场无休止的“人机大战”里。这个原本为保护网络安全而生的小工具，如今却演变成了折磨人的“数字酷刑”。最近有消息曝出，谷歌从验证码中收集的数据价值高达近8980亿美元。更讽刺的是，当初为了区分人与机器而设计的验证码，现在却把人类逼得抓耳挠腮，而真正的机器反而能轻松破解。

这场持续了25年的人机攻防战，究竟是如何走到今天这一步的？

被逼疯的验证码，究竟是怎么诞生的？

验证码到底有多烦人？ 如果只是看到验证码弹窗就开始火冒三丈，那你还气得早了——验证码考验人类的离谱形式，只有真正经历过的人才有发言权。 

无数中国网民，都对曾被12306网站验证码支配的恐惧记忆犹新。因为要想顺利买到火车票，光看到抢票页面的“余票充足”可不够，只有成功闯过付款前的验证码关卡，才算成功了一半。 

故事的起点，其实是一场“正义的反击”。2000年，正值互联网普及初期，雅虎邮箱被垃圾邮件疯狂侵袭——每天收到的垃圾邮件占比高达90%，正常邮件被淹没，用户怨声载道。当时还在读博的路易斯·冯·安被这个问题难住了：如何既能拦住机器发送的垃圾邮件，又能让真人顺利通行？一番思索后，他想到了一个简单粗暴的办法：利用“机器做不到、人类能轻松完成”的事情来设限。当时的AI连扭曲的字符都认不出来，而人类凭借视觉识别能力，稍微费点劲就能分辨。于是，第一代验证码应运而生：把几个字母数字扭曲变形，加上干扰线，让用户识别输入。

这就是验证码（CAPTCHA）的雏形，全称是“全自动区分计算机和人类的图灵测试”。核心逻辑是利用机器的短板，测试人类的优势。刚开始，这套系统效果显著——就像小区门口的看门大爷，虽然视力不好，但总能分清熟人和陌生人，垃圾邮件被成功拦截，互联网世界暂时恢复了清净。路易斯·冯·安当时或许颇为得意，觉得自己发明了一个一劳永逸的安全方案。

但他没料到，自己无意间开启了一场永无止境的验证码大赛。AI在不断进化，验证码只能被迫跟着升级，一步步从“小考验”变成了“大折磨”。2014年，AI识别扭曲字符的准确率已超过98%，原本的字符验证码形同虚设。更夸张的是，人类识别一个字符验证码平均需要15.3秒，而机器人只需0.9秒，效率碾压人类。互联网世界再次面临安全危机。

为了应对危机，验证码开始了第一次“变身”。谷歌推出的reCAPTCHA V2，把字符换成了“点击所有包含人行道的图片”“选择所有交通信号灯”这类图像识别任务；国内的极验验证则推出了滑块拼图，让用户拖动滑块补全图像。这些新玩法的核心逻辑没变，还是“考人类能做而机器不能做的事”，但难度已悄悄升级，可AI的进化速度远超预期。如今，滑块轨迹模仿对AI来说都成了小儿科，人类还没对准，AI滑得又快又准。

安全防线一次次被突破，验证码只能一次次加码。从简单的图像识别到复杂的场景判断，从单滑块到多滑块，从静态验证到动态验证，难度一路飙升。这些为了防AI设计的升级，最终都变成了对人类的“酷刑”。全体人类每天要耗费50万小时在输验证码上，而一个人80岁的人生总时长也不过70万小时——也就是说，我们每个人这辈子，都要花超过大半年的时间在这些毫无意义的验证上。

从做题到强制人脸识别，处处刁难人类

如果说早期的验证码是“小测验”，那现在的验证码已经变成了“高考难度的综合卷”:从视觉、智力到生理特征，全方位刁难人类。最常见的折磨，来自那些“反人类”的图像识别。有人想去视频网站看视频，结果视频还没看，倒是先来了20次验证码考验：《所有的柯基》《一片秋天的草原》《一条繁忙街道上的粉色房子》，点击之后要么提示“漏选”，要么提示“多选”。

比模糊图像更离谱的，是各种“智商测试”式的验证码。有人遇到的验证码竟然是“52×82”“84×36”这样的两位数乘法题，心算根本算不出来；还有的就更抽象了。

使用某些视频软件，需要控制滑块完成拼图，或者按顺序点击图片中汉字；使用某些搜索引擎，甚至需要辨别一组图片中哪些包含楼梯、红绿灯、斑马线、自行车…… 

更绝的是，有些验证码不满足只考眼力，还要测智商。不仅要懂点文学典故，读过四大名著，末了还附带一道数学题。这种验证本质上是在筛选“有常识的人”，而非单纯“人类”。

到了手机上，短信验证码又带来新麻烦。有数据显示，短信验证码的接收失败率高达5%，意味着每20个用户里，就有1个因收不到验证码而卡壳。而最让人无法接受的，是越来越多的“强制人脸识别”。现在打开很多APP，尤其是金融、政务类APP，登录、转账、改密码时，都必须进行人脸识别。有些APP的人脸识别还要求“眨眼、转头、张嘴”，稍有不合规就验证失败。

就像12306的奇葩验证码，当年之所以被设计出来，就是因为旧的验证体系被抢票软件攻破，铁路部门没有更好的办法，只能用“难住人类”的方式来防机器。可这种“以牺牲用户体验为代价的安全”，本质上是在本末倒置——互联网产品的核心是服务用户，而不是给用户制造麻烦。

更让人无奈的是，验证码的刁难还带有“年龄歧视”。对于老年人来说，扭曲的字符、模糊的图像、复杂的操作，都是难以逾越的障碍。有调查显示，超过60%的老年人都遇到过验证码相关的困难，有些老人甚至因为不会操作验证码，无法使用网上挂号、手机支付等基础服务。

更要命的是，这些验证的失败率高得离谱——2024年的一项研究显示，只有35%的用户能一次性顺利通过验证码，46%的用户会在多次失败后直接放弃使用网站。这场为了区分人机的测试，最终先把人类给筛掉了。

区分计算机和人类，难道只有一条路？

当你一边心里暗暗吐槽，一边按指令输入验证码时，还有一件事正在发生。人类在验证码上耗费的时间，还成了AI进化的免费燃料。在谷歌浏览器上经常出现街景验证码：需要人类选中所给图片上的房屋、小轿车或路牌等的验证码。

这些图片大多来自于谷歌街景，其中的一部分图片人工智能已经识别出来，但剩下的就需要人类帮助训练AI，让AI能像人眼一样准确地识别路况信息。谷歌在2009年以2780万美元收购了路易斯·冯·安的reCAPTCHA项目后，有研究人员估算，之后的13年里，用户在谷歌验证码上总共消耗了8.19亿小时，按美国联邦最低工资计算，相当于谷歌省下了至少61亿美元的工资。如今，在大家的“辛勤喂养”之下，谷歌旗下的无人驾驶汽车公司，已经在自动驾驶领域处于遥遥领先的地位，登上2025年最佳发明榜单。

我们以为自己在通过考试，殊不知自己只是免费的“打工人”。当验证码把人类逼得走投无路时，很多人开始思考：区分计算机和人类，真的只能用“考试”这种方式吗？答案显然是否定的。随着技术的发展，越来越多的替代方案出现。最成熟的替代方案，是“无感验证”。比如通过分析用户的行为数据来判断身份——如鼠标移动轨迹、页面滚动速度、点击位置分布等。系统会给每个用户打一个0到1.0的分数，分数越高，说明是人类的概率越大；如果分数过低，才会触发进一步的验证。

无感验证的用户体验堪称完美，但也存在争议，它需要收集用户的行为数据，涉及隐私问题。有用户担心：“我在网上的每一个动作都被监控，这和被跟踪有什么区别？”另一种更便捷的方案，是一键免密登录。用户只需点击“一键登录”，授权后就能完成验证，全程无需输入任何验证码。

这种方式解决了短信验证码的所有痛点：不需要等待接收，不会被拦截，也不会过期。如今很多社交、电商、出行类APP都已采用这种方案。一键免密登录不仅方便用户，对企业也有好处，其资费比短信验证码低15%到20%，能帮企业节省运营成本。这些替代方案的出现，证明了区分人机不一定需要考试。它们的核心逻辑不是“考用户”，而是“用技术手段主动识别”，把麻烦留给企业和技术。回望验证码的25年发展史，其实是一部“人机博弈史”。从最初的字符验证到现在的人脸识别，验证码的每一次升级，都是被AI逼出来的。

可这场博弈到最后，却变成了对人类的“折磨”——我们发明了AI，又为了防AI，把自己变成了被考验的对象。希望未来的某一天，我们能彻底和那些折磨人的验证码说再见。