O Google começou a testar uma nova forma de proteção reCAPTCHA, que exige que os usuários acenem com a mão para uma webcam ou levantem a palma da mão aberta, combinando 21 coordenadas para provar que são humanos. Uma maneira de burlar essa proteção incomum foi rapidamente descoberta.

Fonte da imagem: Luis Quintero / unsplash.com
Em poucos dias, usuários aprenderam a burlar o novo formato de proteção reCAPTCHA enviando fotos de mãos por meio da webcam virtual do OBS — esse método evita mostrar as mãos, reproduzir vídeos e usar inteligência artificial. O novo formato de verificação foi lançado pela plataforma Google Cloud Fraud Defense. Ele foi projetado para proteger recursos contra o registro automatizado de contas e ataques de força bruta a credenciais. Quando a verificação é bem-sucedida, o navegador solicita acesso à webcam e pede ao usuário que faça um gesto simples. O modelo de aprendizado de máquina do Google grava um vídeo curto e extrai dados sobre os pontos de apoio da mão — um total de 21 pontos nos dedos e articulações; a verificação é implementada usando o framework MediaPipe.
Após a conclusão da verificação, o vídeo é excluído. O Google garante que nenhum áudio é gravado, o vídeo não é associado à identidade do usuário e não é compartilhado com terceiros. No entanto, há um aviso legal afirmando que todos os dados coletados são usados e armazenados de acordo com a Política de Privacidade do Google, e não está claro quais dados são de fato coletados. Usuários que não conseguem realizar gestos completam os desafios reCAPTCHA tradicionais — o novo formato serve não como substituto, mas como complemento. Desde a introdução do novo formato, as pessoas rapidamente adaptaram a webcam virtual do OBS e uma imagem padrão de uma pessoa acenando com a mão para resolver o desafio. A eficácia do novo método como medida de segurança tem se mostrado questionável.
Em 2024, pesquisadores relataram uma taxa de aprovação de 100% para o reCAPTCHAv2 usando IA e, no ano passado, o agente de IA da OpenAI passou na auditoria da Cloudflare.Mostrar as mãos parece questionável — independentemente das promessas do Google de não coletar dados, trata-se de informação biométrica. Cloudflare, Google, Mozilla e Microsoft propuseram anteriormente a tecnologia de Tokens de Controle de Acesso Privado (PACT) para substituir as verificações CAPTCHA. A decisão foi tomada após a descoberta de que 58% de todas as requisições HTTP no mundo são provenientes de bots, um patamar que não se espera atingir antes de 2027.