1 điểm bởi GN⁺ 2025-08-21 | 1 bình luận | Chia sẻ qua WhatsApp
  • Không thể truy cập trang lock.cmpxchg8b.com
  • Xảy ra hiện tượng không thể truy cập do máy chủ phản hồi chậm
  • Có hướng dẫn kiểm tra kết nối mạng, tình trạng router hoặc modem
  • Có khuyến nghị kiểm tra cài đặt proxy
  • Đây chỉ là sự cố kết nối đơn thuần, không có giải thích liên quan trực tiếp đến quyền truy cập kernel Linux

Thông báo không thể truy cập trang web

  • Trang lock.cmpxchg8b.com không phản hồi
  • Cung cấp thông báo về sự cố hết thời gian chờ kết nối (Timeout)
  • Khuyến nghị khởi động lại thiết bị mạng (router, modem, v.v.)
  • Yêu cầu kiểm tra lại các thiết lập cho phép truy cập mạng
  • Bao gồm nội dung khuyến nghị thay đổi cài đặt proxy trong trình duyệt Chromium và kết nối trực tiếp
  • Không có giải thích kỹ thuật trực tiếp nào về việc quyền truy cập kernel bị chặn hay về một hình ảnh nhân vật cụ thể (cô gái mèo anime)

1 bình luận

 
GN⁺ 2025-08-21
Ý kiến trên Hacker News
  • Vì đây nhìn chung là nơi tụ họp của những người am hiểu kỹ thuật, nên tôi tự hỏi liệu nhiều người thật sự không hiểu cơ chế hay mục đích của các biện pháp bảo vệ như Anubis, hay họ chỉ giả vờ không hiểu rồi tỏ ra xem nhẹ nó
    Nếu là nhà phát triển bot scraper AI thì sớm muộn gì cũng sẽ tìm ra cách vượt qua, điều đó là hiển nhiên, nhưng điều quan trọng là nó có hiệu quả trong một khoảng thời gian
    Khi phía bot lại đưa ra cách lách mới, thì lại sẽ xuất hiện công cụ “chứng minh không phải bot” mới
    Cuối cùng thì chuyện này rất đơn giản: nếu áp dụng một cách mới mà giúp trang an toàn được dù chỉ một hai tháng, thì như vậy đã là thành quả đáng hài lòng
    Tốt hơn nhiều so với việc phải cân nhắc chặn cả mạng lưới trong khi vẫn phải chịu hàng chục request mỗi giây
    Ví dụ, nếu đưa vào form một câu hỏi như “7+2 bằng bao nhiêu?”, thì dĩ nhiên trình thu thập vẫn có thể tính ra đáp án, nhưng việc “bảo nó phải làm thế nào” rốt cuộc vẫn là phần việc của con người

    • Tôi muốn được thấy các con số cho biết PoW (Proof-of-Work) của Anubis thực sự đã tạo ra tác động gì với website
      Đây là một website nhỏ chạy trên server cá nhân nên tôi không theo dõi log hay thống kê kỹ, nhưng một ngày nào đó site của tôi cũng có thể bị crawl kiểu hung hăng
      Những gì có thể thấy trong tài liệu công khai hiện tại chỉ là hiệu năng của bản thân PoW, chứ chưa rõ nó thực sự hiệu quả đến mức nào trên website ngoài thực tế
      Lý tưởng nhất là có thống kê theo từng loại bot kiểu như “bot của OpenAI chiếm 17% tổng request, nhưng đã giảm từ 900 nghìn request/ngày xuống 0” thì sẽ rất hữu ích
      Tìm kiếm thì toàn ra các bài blog nói “Anubis đã chặn được crawl”, còn dữ liệu thực tế thì lại thiếu
      Ngoài ra, ở thread bên dưới tôi có tìm thấy dữ liệu PDF như thế này, nhưng không có phân tích về việc bao nhiêu khách truy cập thật sự đã bị chặn
      Tôi vẫn mong có thêm nhiều dữ liệu đa dạng hơn

    • Dù giờ đây chuyện nhìn thấy màn hình tải trung gian của Cloudflare trên đủ loại website đã rất phổ biến, mọi người vẫn phàn nàn rằng các biện pháp bảo vệ như Anubis không được dùng nhiều hơn
      Điều này có phần khá mỉa mai

    • Ngay từ khi Anubis mới ra, tôi đã nghĩ nó kém hiệu quả
      Thứ nhất, scraper vốn đã chạy cả trình duyệt đầy đủ và chờ đến khi trang ổn định hoàn toàn, nên không khó để vượt qua cách này
      Thứ hai, để AI đọc được trang thì cần khoảng 5 giây tính toán ở mức gần 1600W, mà điện thoại của tôi chắc chắn không thể hiệu quả ngang phần cứng cấp server, nên có khi còn mất lâu hơn 5 giây
      Để xử lý tất cả những việc này cùng lúc thì thiết bị cũng nóng lên, và cấu trúc đó cũng rất kém hiệu quả

    • Theo tôi thì bản thân PoW không phải thứ chặn được scraper AI, mà chính quy trình truy cập website khác thường do Anubis tạo ra mới là thứ khiến chúng bị chặn
      Nếu điều đó đúng, thì Anubis có lẽ vẫn đủ dùng ngay cả khi bỏ phần PoW, để khách truy cập là người thật không phải nhìn màn hình tải vài giây và lãng phí thiết bị của mình

    • Kiểm tra đơn giản như 7+2 chỉ hạn chế những ai đang định gửi gì đó, còn Anubis thì ảnh hưởng đến mọi người dùng ngay cả khi họ chỉ đơn thuần đọc website

  • Tôi nghĩ mục tiêu cốt lõi của Anubis là kiểm soát việc crawler tẩy trắng danh tính (tấn công Sybil) hoặc crawl song song
    Kiểu truy cập sẽ như sau:

    • Client có JS và cookie → server có thể dùng cookie để áp dụng giới hạn tốc độ. Con người thường không bị ảnh hưởng nhiều, nhưng crawler sẽ bị chậm đi đáng kể hoặc bị chặn. Tất nhiên có thể đổi danh tính (cookie), nhưng như vậy lại phát sinh chi phí giải puzzle
    • Client chỉ có JS và không trạng thái → mỗi lần truy cập vẫn tốn chi phí lớn và vẫn có hiệu quả
    • (Không có JS → không thể truy cập)
      Điểm chính là ngăn server bị quá tải do truy cập đồng thời quá mức
      Dù crawler gửi nhiều request song song, mỗi request đều phát sinh thêm chi phí và giới hạn, nên không còn cảnh server bị đánh sập bởi hàng nghìn request bot mỗi giây như trước
      Đó mới là tác dụng thực tế của Anubis
    • Thực ra không nhất thiết phải cần JS
      Chỉ cần có script để đi qua Anubis và giải challenge là vẫn có thể vượt qua
  • Trước đây tôi thấy kiểu tiếp cận thủ tục như thế này không chỉ phiền phức mà còn đáng ngờ ở chỗ liệu nó có thực sự giúp xác thực người thật hay không
    Những thử thách kiểu này có thể được tự động hóa dễ dàng và rẻ
    Tôi thực sự đã làm một extension trình duyệt để xóa "Mozilla" khỏi User Agent trên các website chạy Anubis
    Vì tôi hầu như không dùng JS hay cookie nên thường không thể vượt qua challenge, còn với một số site self-hosted như Gitlab có cho phép JS và cookie thì tôi cũng không muốn tài nguyên máy mình bị dùng vào việc đào coin

    • Cần cẩn thận vì đụng vào header User Agent gần như sẽ ngay lập tức tạo ra mã nhận diện riêng cho bản thân
      Browser fingerprinting đặc biệt hiệu quả với những người dùng có giá trị header khác thường
      Chỉ cần dùng Safari nguyên bản thì đã có hàng triệu người chia sẻ cùng một giá trị, nhưng một khi đổi User Agent thì nó lập tức trở thành định danh duy nhất

    • Nếu website đủ “dính”, thì có lẽ thật sự có thể âm thầm đào tiền mã hóa như Monero ở nền sau
      Sẽ hay nếu trình duyệt có cảnh báo kiểu “Website này đang sử dụng quá mức máy tính của bạn ở chế độ nền. Bạn có muốn dừng lại không?”

    • Có người đặt câu hỏi liệu việc đổi giá trị User Agent có làm hỏng các chức năng khác không
      Chuỗi User Agent của đa số trình duyệt vốn đã đầy những giá trị “nói dối” tiêu chuẩn, nên tôi cũng ngại sửa nó

    • Tôi thấy hứng thú với extension mà bạn đã tự viết
      Nó còn khiến tôi nghĩ đến việc liệu có thể ép text encoding của trang sang tiếng Nhật hay không

    • Nếu bot AI cũng có thể đổi User Agent y như vậy, thì chẳng phải kết quả cuối cùng vẫn thế sao?

  • Về tranh cãi rằng nhân vật của Anubis có phải mèo hay không, ngay chính cái tên Anubis cũng cho thấy đây là vị thần Ai Cập thường được mô tả là chó rừng hoặc chó
    Đúng như tên gọi, đó là người gác cổng của thế giới bên kia
    Nói cho chính xác về mặt kỹ thuật thì “cô gái chó”, hay “cô gái chó rừng”, mới đúng hơn

    • Nhờ vậy mà tôi thấy nhẹ lòng hơn hẳn, nói đùa vậy

    • Nhưng cũng hơi tiếc vì các đặc điểm thị giác nguyên bản của Anubis đã bị lược bỏ

  • Tôi nghĩ các nhà cung cấp dịch vụ AI thực chất có sẵn tài nguyên tính toán trong datacenter, nên kiểu PoW này rốt cuộc lại chỉ hạn chế người dùng cá nhân vốn ít tài nguyên hơn
    Nhưng trong thực tế, Anubis dường như vẫn được chấp nhận như phương án ít tệ nhất nhưng còn dùng được
    Nếu lý thuyết và thực tế khác nhau, có thể là tôi đã bỏ sót điều gì đó, hoặc cũng có thể lý thuyết của tôi sai

  • Vừa nhìn thấy màn hình Anubis là tôi nhận ra ngay, và tôi mong cô mèo anime của dự án này đừng biến mất

    • Giờ Internet đã quá doanh nghiệp hóa và khô khan, nên thật dễ chịu khi vẫn còn những yếu tố dễ thương như thế này

    • Vì Anubis vốn lấy từ vị thần Ai Cập đầu chó, nên nhìn hình tôi nghĩ đó là “cô gái chó”

    • Đây cũng không phải dự án duy nhất có nhân vật anime làm mascot
      ComfyUI cũng dùng một nhân vật cô gái cáo làm mascot chính thức, và đó gần như là tiêu chuẩn thực tế của UI tạo sinh dựa trên Stable Diffusion

    • Nếu scraper AI chỉ cần nghiêm túc triển khai PoW hoặc đơn giản là xóa “Mozilla” khỏi User Agent là biện pháp bảo vệ này lập tức trở nên vô nghĩa, thì có lẽ chính dự án này cũng sẽ sớm biến mất

  • Về lời giải thích “CAPTCHA đưa ra bài toán khó với máy tính nhưng dễ với con người”, tôi tự hỏi những người nói vậy đã từng thật sự giải loại CAPTCHA kiểu “hãy chọn ô có giáo sĩ Do Thái chính thống” chưa

    • Vụ lùm xùm về CAPTCHA của RapidShare năm 2008 khá buồn cười
      Link liên quan 1
      Link liên quan 2
      Link liên quan 3

    • Một câu trả lời đùa rằng loại CAPTCHA đó thì đến thứ Bảy còn chẳng giải được

    • Giờ có rất nhiều dịch vụ giải CAPTCHA thuê với giá rẻ
      Với lưu lượng cực lớn của các công ty AI thậm chí còn có thể được giảm giá thêm, và các extension trình duyệt như NopeCHA cũng đạt tỷ lệ thành công khoảng 99%, giúp giảm mệt mỏi khi phải tự giải
      Rốt cuộc, dùng CAPTCHA khó chỉ khiến khách hàng thật sự vất vả hơn mà thôi
      Dĩ nhiên, đây là nói trong trường hợp bạn chưa thể tự dùng AI để giải CAPTCHA. Mà giờ thì AI cũng làm được đủ rồi

    • Cuối cùng thì máy tính sẽ giỏi mọi thứ
      CAPTCHA hồi đầu những năm 2000 thật sự từng khó với máy tính

  • Tôi nghĩ cũng có thể áp dụng cách lưu định danh của JWT token khi Anubis đang chạy, rồi theo dõi số lượng request hoặc tốc độ phát sinh từ từng token, và nếu vượt ngưỡng nhất định thì hủy token hoặc áp dụng trả lời chậm hay giới hạn
    Dù bot có vượt qua challenge, chỉ cần giữ token rồi request quá nhanh thì lập tức sẽ bị áp chế
    Cũng có thể nghĩ đến cách giới hạn để một IP cụ thể không thể phát hành quá nhiều token

  • Thỉnh thoảng thấy màn hình như Anubis là tôi lại lo không biết mình có bị chuyển hướng sang trang độc hại hay imageboard kỳ quặc nào không
    Tôi cũng thấy lạ vì kernel.org lại dùng bản miễn phí có anime thay vì bản trả phí không anime
    Rồi lại đùa kiểu Linux Foundation toàn đi BMW mà hóa ra thật sự không có tiền à

    • Anime giờ còn đại chúng hơn trước, Netflix cũng kiếm hàng tỷ mỗi năm, nên tôi thấy khá lạ khi chỉ cần nhìn một hình anime vô hại như vậy mà một số người lại nghĩ sang chuyện khác

    • Thực ra Anubis không phải dự án hoàn toàn nguyên bản mà là bản clone của Kiwiflare, nên ấn tượng như vậy cũng không hẳn sai hoàn toàn
      Link về Kiwiflare

    • Tôi cũng tự hỏi liệu có thực sự cần bản bỏ thương hiệu hay không
      Phần mềm nguồn mở thường không cần giấy phép riêng hay trang tải xuống riêng nên phân phối còn dễ hơn
      Nếu là dự án mình phụ thuộc vào thì chỉ cần quyên góp là được, chứ không nhất thiết phải debrand
      Ví dụ, nếu thấy mascot của Anubis xuất hiện thì tôi có thể tin tưởng hơn để bật JavaScript, còn nếu không có thương hiệu thì lại nghi đó là mã của một công ty CAPTCHA nào đó
      Dù sao thì LKML từ xưa đến nay cũng chưa bao giờ quá quan tâm đến thiết kế, nên thật ra chuyện này chắc cũng không quan trọng lắm

  • Các cách xác thực con người như đếm số lượng trong một câu hỏi mà chỉ con người mới dễ trả lời lại hiệu quả bất ngờ cả với bộ lọc LLM
    Ví dụ, có những forum khi đăng ký sẽ hỏi số chữ cái của một từ khóa cụ thể, hoặc đường kính của một bộ phận ô tô, và thực tế chúng hoạt động khá tốt

    • Với forum nhỏ, chỉ cần thiết kế đúng chiến lược tùy biến cho quy trình đăng ký là lượng tài khoản spam giảm mạnh
      Trước đây ở một forum bị spam đăng ký rất nhiều, tôi đã đổi thành bắt nhập kết quả lấy một số 6 chữ số cộng thêm 1, và hiệu quả cực kỳ rõ rệt

    • Đây là cách đã được kiểm chứng
      Hồi xưa ở forum game moparscape người ta hỏi 'mopar là gì', và tôi lần nào cũng phải đi tìm kiếm

    • Nhưng cũng cần nhớ rằng loại câu hỏi này với một bộ phận người dùng bình thường vẫn có thể khó trả lời