Vì sao các cô gái mèo anime lại chặn quyền truy cập kernel Linux của tôi?
(lock.cmpxchg8b.com)- Không thể truy cập trang lock.cmpxchg8b.com
- Xảy ra hiện tượng không thể truy cập do máy chủ phản hồi chậm
- Có hướng dẫn kiểm tra kết nối mạng, tình trạng router hoặc modem
- Có khuyến nghị kiểm tra cài đặt proxy
- Đây chỉ là sự cố kết nối đơn thuần, không có giải thích liên quan trực tiếp đến quyền truy cập kernel Linux
Thông báo không thể truy cập trang web
- Trang lock.cmpxchg8b.com không phản hồi
- Cung cấp thông báo về sự cố hết thời gian chờ kết nối (Timeout)
- Khuyến nghị khởi động lại thiết bị mạng (router, modem, v.v.)
- Yêu cầu kiểm tra lại các thiết lập cho phép truy cập mạng
- Bao gồm nội dung khuyến nghị thay đổi cài đặt proxy trong trình duyệt Chromium và kết nối trực tiếp
- Không có giải thích kỹ thuật trực tiếp nào về việc quyền truy cập kernel bị chặn hay về một hình ảnh nhân vật cụ thể (cô gái mèo anime)
1 bình luận
Ý kiến trên Hacker News
Vì đây nhìn chung là nơi tụ họp của những người am hiểu kỹ thuật, nên tôi tự hỏi liệu nhiều người thật sự không hiểu cơ chế hay mục đích của các biện pháp bảo vệ như Anubis, hay họ chỉ giả vờ không hiểu rồi tỏ ra xem nhẹ nó
Nếu là nhà phát triển bot scraper AI thì sớm muộn gì cũng sẽ tìm ra cách vượt qua, điều đó là hiển nhiên, nhưng điều quan trọng là nó có hiệu quả trong một khoảng thời gian
Khi phía bot lại đưa ra cách lách mới, thì lại sẽ xuất hiện công cụ “chứng minh không phải bot” mới
Cuối cùng thì chuyện này rất đơn giản: nếu áp dụng một cách mới mà giúp trang an toàn được dù chỉ một hai tháng, thì như vậy đã là thành quả đáng hài lòng
Tốt hơn nhiều so với việc phải cân nhắc chặn cả mạng lưới trong khi vẫn phải chịu hàng chục request mỗi giây
Ví dụ, nếu đưa vào form một câu hỏi như “7+2 bằng bao nhiêu?”, thì dĩ nhiên trình thu thập vẫn có thể tính ra đáp án, nhưng việc “bảo nó phải làm thế nào” rốt cuộc vẫn là phần việc của con người
Tôi muốn được thấy các con số cho biết PoW (Proof-of-Work) của Anubis thực sự đã tạo ra tác động gì với website
Đây là một website nhỏ chạy trên server cá nhân nên tôi không theo dõi log hay thống kê kỹ, nhưng một ngày nào đó site của tôi cũng có thể bị crawl kiểu hung hăng
Những gì có thể thấy trong tài liệu công khai hiện tại chỉ là hiệu năng của bản thân PoW, chứ chưa rõ nó thực sự hiệu quả đến mức nào trên website ngoài thực tế
Lý tưởng nhất là có thống kê theo từng loại bot kiểu như “bot của OpenAI chiếm 17% tổng request, nhưng đã giảm từ 900 nghìn request/ngày xuống 0” thì sẽ rất hữu ích
Tìm kiếm thì toàn ra các bài blog nói “Anubis đã chặn được crawl”, còn dữ liệu thực tế thì lại thiếu
Ngoài ra, ở thread bên dưới tôi có tìm thấy dữ liệu PDF như thế này, nhưng không có phân tích về việc bao nhiêu khách truy cập thật sự đã bị chặn
Tôi vẫn mong có thêm nhiều dữ liệu đa dạng hơn
Dù giờ đây chuyện nhìn thấy màn hình tải trung gian của Cloudflare trên đủ loại website đã rất phổ biến, mọi người vẫn phàn nàn rằng các biện pháp bảo vệ như Anubis không được dùng nhiều hơn
Điều này có phần khá mỉa mai
Ngay từ khi Anubis mới ra, tôi đã nghĩ nó kém hiệu quả
Thứ nhất, scraper vốn đã chạy cả trình duyệt đầy đủ và chờ đến khi trang ổn định hoàn toàn, nên không khó để vượt qua cách này
Thứ hai, để AI đọc được trang thì cần khoảng 5 giây tính toán ở mức gần 1600W, mà điện thoại của tôi chắc chắn không thể hiệu quả ngang phần cứng cấp server, nên có khi còn mất lâu hơn 5 giây
Để xử lý tất cả những việc này cùng lúc thì thiết bị cũng nóng lên, và cấu trúc đó cũng rất kém hiệu quả
Theo tôi thì bản thân PoW không phải thứ chặn được scraper AI, mà chính quy trình truy cập website khác thường do Anubis tạo ra mới là thứ khiến chúng bị chặn
Nếu điều đó đúng, thì Anubis có lẽ vẫn đủ dùng ngay cả khi bỏ phần PoW, để khách truy cập là người thật không phải nhìn màn hình tải vài giây và lãng phí thiết bị của mình
Kiểm tra đơn giản như 7+2 chỉ hạn chế những ai đang định gửi gì đó, còn Anubis thì ảnh hưởng đến mọi người dùng ngay cả khi họ chỉ đơn thuần đọc website
Tôi nghĩ mục tiêu cốt lõi của Anubis là kiểm soát việc crawler tẩy trắng danh tính (tấn công Sybil) hoặc crawl song song
Kiểu truy cập sẽ như sau:
Điểm chính là ngăn server bị quá tải do truy cập đồng thời quá mức
Dù crawler gửi nhiều request song song, mỗi request đều phát sinh thêm chi phí và giới hạn, nên không còn cảnh server bị đánh sập bởi hàng nghìn request bot mỗi giây như trước
Đó mới là tác dụng thực tế của Anubis
Chỉ cần có script để đi qua Anubis và giải challenge là vẫn có thể vượt qua
Trước đây tôi thấy kiểu tiếp cận thủ tục như thế này không chỉ phiền phức mà còn đáng ngờ ở chỗ liệu nó có thực sự giúp xác thực người thật hay không
Những thử thách kiểu này có thể được tự động hóa dễ dàng và rẻ
Tôi thực sự đã làm một extension trình duyệt để xóa "Mozilla" khỏi User Agent trên các website chạy Anubis
Vì tôi hầu như không dùng JS hay cookie nên thường không thể vượt qua challenge, còn với một số site self-hosted như Gitlab có cho phép JS và cookie thì tôi cũng không muốn tài nguyên máy mình bị dùng vào việc đào coin
Cần cẩn thận vì đụng vào header User Agent gần như sẽ ngay lập tức tạo ra mã nhận diện riêng cho bản thân
Browser fingerprinting đặc biệt hiệu quả với những người dùng có giá trị header khác thường
Chỉ cần dùng Safari nguyên bản thì đã có hàng triệu người chia sẻ cùng một giá trị, nhưng một khi đổi User Agent thì nó lập tức trở thành định danh duy nhất
Nếu website đủ “dính”, thì có lẽ thật sự có thể âm thầm đào tiền mã hóa như Monero ở nền sau
Sẽ hay nếu trình duyệt có cảnh báo kiểu “Website này đang sử dụng quá mức máy tính của bạn ở chế độ nền. Bạn có muốn dừng lại không?”
Có người đặt câu hỏi liệu việc đổi giá trị User Agent có làm hỏng các chức năng khác không
Chuỗi User Agent của đa số trình duyệt vốn đã đầy những giá trị “nói dối” tiêu chuẩn, nên tôi cũng ngại sửa nó
Tôi thấy hứng thú với extension mà bạn đã tự viết
Nó còn khiến tôi nghĩ đến việc liệu có thể ép text encoding của trang sang tiếng Nhật hay không
Nếu bot AI cũng có thể đổi User Agent y như vậy, thì chẳng phải kết quả cuối cùng vẫn thế sao?
Về tranh cãi rằng nhân vật của Anubis có phải mèo hay không, ngay chính cái tên Anubis cũng cho thấy đây là vị thần Ai Cập thường được mô tả là chó rừng hoặc chó
Đúng như tên gọi, đó là người gác cổng của thế giới bên kia
Nói cho chính xác về mặt kỹ thuật thì “cô gái chó”, hay “cô gái chó rừng”, mới đúng hơn
Nhờ vậy mà tôi thấy nhẹ lòng hơn hẳn, nói đùa vậy
Nhưng cũng hơi tiếc vì các đặc điểm thị giác nguyên bản của Anubis đã bị lược bỏ
Tôi nghĩ các nhà cung cấp dịch vụ AI thực chất có sẵn tài nguyên tính toán trong datacenter, nên kiểu PoW này rốt cuộc lại chỉ hạn chế người dùng cá nhân vốn ít tài nguyên hơn
Nhưng trong thực tế, Anubis dường như vẫn được chấp nhận như phương án ít tệ nhất nhưng còn dùng được
Nếu lý thuyết và thực tế khác nhau, có thể là tôi đã bỏ sót điều gì đó, hoặc cũng có thể lý thuyết của tôi sai
Vừa nhìn thấy màn hình Anubis là tôi nhận ra ngay, và tôi mong cô mèo anime của dự án này đừng biến mất
Giờ Internet đã quá doanh nghiệp hóa và khô khan, nên thật dễ chịu khi vẫn còn những yếu tố dễ thương như thế này
Vì Anubis vốn lấy từ vị thần Ai Cập đầu chó, nên nhìn hình tôi nghĩ đó là “cô gái chó”
Đây cũng không phải dự án duy nhất có nhân vật anime làm mascot
ComfyUI cũng dùng một nhân vật cô gái cáo làm mascot chính thức, và đó gần như là tiêu chuẩn thực tế của UI tạo sinh dựa trên Stable Diffusion
Nếu scraper AI chỉ cần nghiêm túc triển khai PoW hoặc đơn giản là xóa “Mozilla” khỏi User Agent là biện pháp bảo vệ này lập tức trở nên vô nghĩa, thì có lẽ chính dự án này cũng sẽ sớm biến mất
Về lời giải thích “CAPTCHA đưa ra bài toán khó với máy tính nhưng dễ với con người”, tôi tự hỏi những người nói vậy đã từng thật sự giải loại CAPTCHA kiểu “hãy chọn ô có giáo sĩ Do Thái chính thống” chưa
Vụ lùm xùm về CAPTCHA của RapidShare năm 2008 khá buồn cười
Link liên quan 1
Link liên quan 2
Link liên quan 3
Một câu trả lời đùa rằng loại CAPTCHA đó thì đến thứ Bảy còn chẳng giải được
Giờ có rất nhiều dịch vụ giải CAPTCHA thuê với giá rẻ
Với lưu lượng cực lớn của các công ty AI thậm chí còn có thể được giảm giá thêm, và các extension trình duyệt như NopeCHA cũng đạt tỷ lệ thành công khoảng 99%, giúp giảm mệt mỏi khi phải tự giải
Rốt cuộc, dùng CAPTCHA khó chỉ khiến khách hàng thật sự vất vả hơn mà thôi
Dĩ nhiên, đây là nói trong trường hợp bạn chưa thể tự dùng AI để giải CAPTCHA. Mà giờ thì AI cũng làm được đủ rồi
Cuối cùng thì máy tính sẽ giỏi mọi thứ
CAPTCHA hồi đầu những năm 2000 thật sự từng khó với máy tính
Tôi nghĩ cũng có thể áp dụng cách lưu định danh của JWT token khi Anubis đang chạy, rồi theo dõi số lượng request hoặc tốc độ phát sinh từ từng token, và nếu vượt ngưỡng nhất định thì hủy token hoặc áp dụng trả lời chậm hay giới hạn
Dù bot có vượt qua challenge, chỉ cần giữ token rồi request quá nhanh thì lập tức sẽ bị áp chế
Cũng có thể nghĩ đến cách giới hạn để một IP cụ thể không thể phát hành quá nhiều token
Thỉnh thoảng thấy màn hình như Anubis là tôi lại lo không biết mình có bị chuyển hướng sang trang độc hại hay imageboard kỳ quặc nào không
Tôi cũng thấy lạ vì kernel.org lại dùng bản miễn phí có anime thay vì bản trả phí không anime
Rồi lại đùa kiểu Linux Foundation toàn đi BMW mà hóa ra thật sự không có tiền à
Anime giờ còn đại chúng hơn trước, Netflix cũng kiếm hàng tỷ mỗi năm, nên tôi thấy khá lạ khi chỉ cần nhìn một hình anime vô hại như vậy mà một số người lại nghĩ sang chuyện khác
Thực ra Anubis không phải dự án hoàn toàn nguyên bản mà là bản clone của Kiwiflare, nên ấn tượng như vậy cũng không hẳn sai hoàn toàn
Link về Kiwiflare
Tôi cũng tự hỏi liệu có thực sự cần bản bỏ thương hiệu hay không
Phần mềm nguồn mở thường không cần giấy phép riêng hay trang tải xuống riêng nên phân phối còn dễ hơn
Nếu là dự án mình phụ thuộc vào thì chỉ cần quyên góp là được, chứ không nhất thiết phải debrand
Ví dụ, nếu thấy mascot của Anubis xuất hiện thì tôi có thể tin tưởng hơn để bật JavaScript, còn nếu không có thương hiệu thì lại nghi đó là mã của một công ty CAPTCHA nào đó
Dù sao thì LKML từ xưa đến nay cũng chưa bao giờ quá quan tâm đến thiết kế, nên thật ra chuyện này chắc cũng không quan trọng lắm
Các cách xác thực con người như đếm số lượng trong một câu hỏi mà chỉ con người mới dễ trả lời lại hiệu quả bất ngờ cả với bộ lọc LLM
Ví dụ, có những forum khi đăng ký sẽ hỏi số chữ cái của một từ khóa cụ thể, hoặc đường kính của một bộ phận ô tô, và thực tế chúng hoạt động khá tốt
Với forum nhỏ, chỉ cần thiết kế đúng chiến lược tùy biến cho quy trình đăng ký là lượng tài khoản spam giảm mạnh
Trước đây ở một forum bị spam đăng ký rất nhiều, tôi đã đổi thành bắt nhập kết quả lấy một số 6 chữ số cộng thêm 1, và hiệu quả cực kỳ rõ rệt
Đây là cách đã được kiểm chứng
Hồi xưa ở forum game moparscape người ta hỏi 'mopar là gì', và tôi lần nào cũng phải đi tìm kiếm
Nhưng cũng cần nhớ rằng loại câu hỏi này với một bộ phận người dùng bình thường vẫn có thể khó trả lời