Google Cloud Fraud Defense chỉ là WEI đổi lớp vỏ

 (privatecaptcha.com)
1 điểm bởi GN⁺ 1 giờ trước | 1 bình luận | Chia sẻ qua WhatsApp
  • Google Cloud Fraud Defense được công bố cho năm 2026 là “bước tiến hóa tiếp theo của reCAPTCHA”, nhưng cốt lõi vẫn là hạ tầng chứng thực thiết bị giống với Web Environment Integrity đã bị rút lại vào năm 2023
  • Thử thách QR của Fraud Defense hoạt động bằng cách để người dùng quét mã bằng điện thoại, sau đó xác thực thiết bị qua Play Integrity API và gửi kết quả trở lại trang web gốc như bằng chứng cho thấy có con người hiện diện
  • Phần cứng có thể vượt qua bị giới hạn ở thiết bị Android mới có cài Google Play Services hoặc iPhone/iPad mới, nên các lựa chọn như GrapheneOS, LineageOS for microG, hay Firefox for Android về mặc định bị loại trừ
  • Thử thách QR có thể bị vượt qua bằng cách đặt camera trước màn hình, và thiết bị Android tương thích cũng có thể mua với giá khoảng $30, nên đây khó trở thành rào cản lớn với các botfarm chuyên nghiệp
  • Mỗi lần thử thách thành công, Google sẽ nhận được tín hiệu rằng “một thiết bị đã được xác thực đã truy cập một trang cụ thể vào một thời điểm cụ thể”, từ đó có thể tạo ra thông tin quy thuộc vượt qua cả phiên và trình duyệt

Mối liên hệ giữa Google Cloud Fraud Defense và WEI

  • Tháng 5/2026, Google công bố Google Cloud Fraud Defense là “bước tiến hóa tiếp theo của reCAPTCHA”, giới thiệu một thử thách cho phép người dùng quét mã QR bằng điện thoại để chứng minh có con người hiện diện
  • Năm 2023, kỹ sư Google Yoav Weiss đã đưa đề xuất Web Environment Integrity lên dự án Chromium
    • Cấu trúc này cho phép trình duyệt ký một bằng chứng mật mã gắn với phần cứng thiết bị để chứng minh rằng trình duyệt chưa bị chỉnh sửa và đang chạy trên phần cứng được Google chứng nhận
    • Trang web có thể xác minh chữ ký này để quyết định có cung cấp nội dung mà không thêm ma sát hay yêu cầu thử thách bổ sung hay không
    • Lý do được đưa ra cho đề xuất là bảo vệ tính toàn vẹn của web trước bot và hành vi scraping tự động
  • Chỉ trong vài ngày, Mozilla đã đưa ra lập trường chính thức, đánh giá đề xuất này là “đi ngược lại lợi ích của người dùng” và “tạo ra một Internet kiểu cổng kiểm soát do các nhà cung cấp OS và thiết bị điều khiển”
  • Electronic Frontier Foundation gọi đây là “kế hoạch DRM cho web của Chrome”, cho rằng theo thiết kế thì chỉ Chrome chạy trên Android hoặc phần cứng được chứng nhận mới dễ dàng vượt qua chứng thực, từ đó đẩy lưu lượng về hệ sinh thái Google
  • Google đã rút WEI sau 3 tuần công bố và đóng luồng thảo luận trên GitHub của Chromium, nhưng đến năm 2026, cùng một hạ tầng chứng thực thiết bị lại được đưa ra thị trường dưới dạng nền tảng của sản phẩm thương mại Fraud Defense

Cơ chế thực tế của thử thách mã QR

  • Thử thách Fraud Defense hoạt động bằng cách hiển thị mã QR trên trang web để người dùng dùng camera điện thoại quét
  • Điện thoại sau đó được xác thực qua Play Integrity API của Google để kiểm tra rằng thiết bị là phần cứng đã được chứng nhận
  • Kết quả xác thực này được gửi trở lại trang web gốc và dùng như bằng chứng về sự hiện diện của con người
  • Trang yêu cầu của Fraud Defense chỉ định phần cứng có thể vượt qua là “thiết bị Android mới có cài Google Play Services hoặc iPhone/iPad mới”
  • Google Play Services là lớp phần mềm nguồn đóng của Google chạy trên các thiết bị Android được chứng nhận, đồng thời cung cấp Play Integrity API để chứng minh rằng thiết bị chưa bị sửa đổi và đã được Google phê duyệt
  • Thiết bị không có Play Services không thể đáp ứng mức kiểm tra Play Integrity mà Fraud Defense yêu cầu, và chính điều kiện này vận hành như cơ chế cốt lõi của Fraud Defense
  • Với WEI, Google phải công khai bảo vệ cơ chế này trong quá trình xem xét tiêu chuẩn và đã vấp phải phản đối dẫn tới rút đề xuất; còn Fraud Defense thì được tung ra trực tiếp như một dịch vụ thương mại dành cho các tổ chức có tài khoản thanh toán Google Cloud

Vượt qua mã QR và rủi ro phishing

  • Thử thách mã QR có thể bị các đơn vị vận hành bot vượt qua một cách cơ học bằng cách đặt camera trước màn hình
  • Ngay cả trong các tác vụ đòi hỏi chứng thực Play Integrity, thiết bị Android tương thích cũng có thể mua với giá khoảng $30, ví dụ như chiếc $29.88 Motorola Moto g 2025 tại Walmart
  • Với các botfarm chuyên nghiệp mua thiết bị số lượng lớn, chi phí này gần như chỉ là chi phí cố định, không thực sự cản trở hoạt động
  • Trong chuỗi thảo luận trên HN, một chuyên gia ứng phó sự cố lo ngại rằng trên thực tế rất khó dạy “Susan bên HR” phân biệt giữa mã QR Captcha thật của Google và mã QR phishing độc hại
  • Thử thách QR huấn luyện người dùng quét mã để truy cập website, và các chiến dịch phishing có thể lập tức khai thác đúng hành vi đó

Khác biệt với chứng thực QR và chứng thực thiết bị hiện có

  • iOS App Attestation dùng để xác minh rằng ứng dụng được cài qua App Store và chưa bị chỉnh sửa
  • Việc quản lý ứng dụng trong hệ sinh thái khép kín mà người dùng iPhone đã chủ động chọn khác về bản chất so với việc trong duyệt web mở, quyền truy cập URL bị ràng buộc có điều kiện vào phần cứng do một công ty tư nhân chứng nhận
  • Chưa từng có tiền lệ áp dụng cách làm này lên Internet mở; app store là hệ sinh thái lựa chọn tham gia với điều khoản rõ ràng, còn web không được thiết kế dựa trên điều kiện phần cứng
  • Xác thực dựa trên QR cũng đã tồn tại
    • Smart ID của Estonia dùng mã QR để xác minh người dùng với các tài nguyên có ranh giới và phạm vi đồng ý được xác định, như cổng ngân hàng, dịch vụ chính phủ, hay hồ sơ sức khỏe
    • Người dùng chủ động chọn xác thực, tài nguyên được bảo vệ được xác định trước, và phạm vi rất rõ ràng
  • Google Cloud Fraud Defense cho phép áp dụng chứng thực thiết bị trên web mở với bất kỳ URL nào mà nhà vận hành chỉ định làm cổng kiểm soát
  • Cách làm này không có cấu trúc đồng ý tương đương hay giới hạn mục đích tương tự, và người dùng có thể khó nhận ra rằng danh tính phần cứng của mình đang hoạt động như một loại thông tin xác thực quyền truy cập

Loại trừ người dùng coi trọng quyền riêng tư

  • Chứng thực Google Play Integrity đòi hỏi phải có Google Play Services
  • GrapheneOS là một bản fork Android tăng cường bảo mật, mặc định không tích hợp Play Services, được EFF khuyến nghị và được các nhà báo, luật sư, nhà hoạt động dùng trong các môi trường rủi ro cao
  • GrapheneOS có hỗ trợ một lớp tương thích sandbox chạy được một số chức năng của Play Services, nhưng vẫn không đáp ứng mức Play Integrity MEETS_DEVICE_INTEGRITY mà Fraud Defense yêu cầu
  • Bản phân phối Android thiên về quyền riêng tư LineageOS for microG, được tạo ra cho những người dùng muốn giải pháp thay thế mã nguồn mở, cũng thất bại vì lý do tương tự
  • Mọi custom ROM loại bỏ Play Services đều không vượt qua được yêu cầu của Fraud Defense
  • Firefox for Android không xuất hiện trong danh sách trình duyệt được Google nêu rõ là hỗ trợ Fraud Defense
  • Firefox theo thiết kế không tích hợp Google Play Integrity, và lập trường phản đối chứng thực thiết bị của Mozilla từ năm 2023 là rất rõ ràng, hiện vẫn không thay đổi
  • Kết quả là trong số các trình duyệt di động lớn, người dùng Firefox coi trọng quyền riêng tư bị loại khỏi diện truy cập đã xác minh theo mặc định, không phải vì họ là bot mà vì họ dùng phần mềm từ chối tham gia kiến trúc chứng nhận của Google

Vấn đề theo dõi “hợp lệ”

  • Mỗi lần thử thách Fraud Defense thành công, Google sẽ nhận được tín hiệu rằng “thiết bị đã được xác thực này đã truy cập trang này vào thời điểm này”
  • Chứng thực thiết bị không chỉ làm chức năng chặn hay cho phép truy cập mà còn tạo ra thông tin quy thuộc
  • Một thiết bị có danh tính phần cứng ổn định có thể tạo ra định danh bền vững xuyên qua các phiên, trình duyệt, và cả chế độ duyệt riêng tư
  • Công ty định nghĩa phần cứng nào là “hợp lệ” cũng đồng thời sẽ tích lũy hồ sơ liên tục về việc phần cứng đó di chuyển tới đâu trên web mở
  • Đây không phải tác dụng phụ của chống gian lận, mà là một quyết định mang tính cấu trúc khi gắn việc xác minh với danh tính thiết bị đã được chứng nhận

Cách tiếp cận proof-of-work được nêu như một giải pháp thay thế

  • Private Captcha và các hệ thống proof-of-work tương tự phát hành các thử thách mật mã đòi hỏi nỗ lực tính toán
  • Chi phí để một người dùng giải một thử thách đơn lẻ là không đáng kể
  • Nhưng với các botfarm chạy nhiều phiên đồng thời, chi phí tính toán sẽ tăng thêm theo từng lần thử
  • Các AI agent hoạt động bằng cách tiêu thụ chu kỳ GPU cũng chịu cùng một mức phạt chi phí bất kể năng lực suy luận của chúng tinh vi đến đâu
  • Cách tiếp cận này không gửi đi định danh phần cứng, không yêu cầu chứng thực, và không dựng lên một lớp chứng nhận để quyết định ai được tham gia
  • Quyền riêng tư của người dùng không được bảo vệ bằng lời hứa, mà được bảo toàn ngay từ cấu trúc

Bài viết liên quan

1 bình luận

 
GN⁺ 1 giờ trước
Ý kiến Hacker News

  • Điều này đã được dự đoán từ lâu. Máy tính giải CAPTCHA tốt hơn con người, còn con người thì có thể được trả tiền hoặc bị thuyết phục để tham gia botnet, nên cả danh sách cho phép IP cũng không hiệu quả
    Giờ đây có rất nhiều biện pháp theo dõi dấu vân tay và phân tích hành vi, nhưng chính phủ lại đang siết quản lý mảng đó. YouTube cũng từng có vấn đề gian lận quảng cáo quy mô lớn khi quảng cáo được phát nền trên các video nhúng, nên rõ ràng việc phát hiện vẫn chưa đủ tốt
    Không có nhiều cách tốt để chứng minh không phải bot, và những cách không bao gồm xác minh danh tính thì lại càng ít hơn. Cách opt-in này có thể tạm thời giúp đẩy trách nhiệm sang từng cửa hàng web riêng lẻ, nhưng về lâu dài có vẻ Internet mở lấy con người làm trung tâm sẽ biến mất, hoặc bị khóa sau kiểu xác minh dựa trên chứng thực này
    Apple đã đưa chứng thực từ xa vào Safari cùng Cloudflare từ vài năm trước, và giờ Google đang tiến thêm một bước. Cách của Apple không hiệu quả lắm với bot thực sự điều khiển trình duyệt chứ không chỉ là công cụ tự động hóa bằng script
    May là cách hiện tại chủ yếu chỉ nhắm vào các cửa hàng và những nơi tương tự, nên vẫn có thể lách bằng cách mua ở cửa hàng khác. Nhưng nếu các cửa hàng nhận ra có hàng trăm điện thoại trong click farm chỉ việc bấm vào nội dung từ xa, thì mức độ áp dụng có thể vẫn bị hạn chế
    Có lẽ phải mất vài năm nữa mới lan rộng toàn diện, nhưng trừ khi AI đột nhiên không còn được dùng rộng rãi nữa, thì rốt cuộc có vẻ rất khó tránh

    • Thật thú vị khi CAPTCHA lúc đầu phổ biến như một bài kiểm tra Turing ngược, mà giờ về bản chất lại trở thành một biến thể của bằng chứng công việc (Proof of Work)
      Khi đó Google đã rất khôn ngoan khi tận dụng nó để cải thiện mô hình OCR, và thực sự đã làm như vậy, nhưng ngày nay thì khó thấy “công việc” được chứng minh đó tạo ra giá trị gì
    • Trả tiền để người ta quét mã QR rồi giả mạo vị trí, nên cũng khó mà tin cách này sẽ không bị lách qua
    • Tôi tò mò cụ thể việc mua chuộc con người trông sẽ như thế nào. Có thể kiếm được bao nhiêu, phải làm gì, có phải chỉ cần cắm một cái hộp nhỏ vào mạng rồi quên nó đi không
      Cũng tự hỏi rút nó ra trước kỳ thanh toán tiếp theo thì có thành một kiểu mặc cả không. Hỏi hộ một người bạn muốn tránh phải đi bán huyết tương để kiếm sống
    • Cá nhân tôi nghĩ việc phát hiện phiên trình duyệt do LLM điều khiển còn dễ hơn. Những người triển khai kiểu đó ngây thơ và thiếu kinh nghiệm hơn nhiều so với dân làm scraper hay crawler truyền thống
      Tôi muốn chèn meme “Bạn đâu có mang Zip Bomb 40 petabyte đến trường, đúng không?”
    • Tùy cấu trúc chi phí ra sao, nhưng Google có lẽ cuối cùng vẫn sẽ thua như anti-cheat trong game. Nếu có công cụ phân tích ảnh màn hình và gửi đầu vào như thiết bị USB thì gần như chẳng còn gì để phát hiện nữa
      Làm điều đó trên web có vẻ còn dễ hơn nhiều so với trong game

  • Từ “Don’t be evil” thành công ty xây dựng hệ thống giám sát lớn nhất và xâm lấn nhất thế giới
    Trước cả vụ này đã là như vậy rồi, nhưng chuyện lần này cho thấy với Google thì không bao giờ có khái niệm theo dõi là đủ. Google sẽ tìm cách theo dõi hoạt động trực tuyến của mọi người nhiều hơn nữa, và dùng mọi công cụ có thể

    • Không phải một thực thể trừu tượng tên là Google, mà là những con người cụ thể nghĩ ra và thúc đẩy ý tưởng này
      Đừng coi doanh nghiệp như một thực thể trừu tượng; hãy coi nó là tập hợp những kẻ bệnh hoạn đang đưa ra các quyết định như thế này

  • Có vẻ cả ba liên kết HN tôi bấm liên tiếp đều dẫn tới bài viết do LLM tạo ra. Tôi không phản đối AI, nhưng đã mệt khi phải chứng kiến tư duy và cách diễn đạt của con người bị thay thế một cách âm thầm

    • Tôi thường thấy thái độ kiểu “cái này rõ ràng do AI tạo ra”, nhưng tôi tò mò tại sao lại nhìn ra như vậy. Cái gì khiến nó là nội dung do LLM tạo và làm sao biết được?
      Điều rõ ràng hơn là hệ thống niềm tin của chúng ta đã sụp đổ rồi. Việc những người bình luận chụp mũ lẫn nhau là AI cũng là một ví dụ

  • Từ AMP, Manifest V3, những trò can thiệp vào mã nguồn Android, các nỗ lực thay cookie bằng mớ nhảm nhí như FLoC, cho đến chuyện lần này, Google đang nhanh chóng trở thành thế lực thù địch với Internet mở

    • Rốt cuộc RMS luôn đúng. Thật đáng kinh ngạc
    • AMP từng là thứ cực kỳ khó chịu khi tôi làm ở một công ty phát triển web thiên về marketing khoảng 4~5 năm trước
      Cảm giác kiểu “Google rất thích nhét bài viết của bạn vào UI tệ hại của họ chỉ vì điều đó giúp người dùng tiết kiệm được chút thời gian”
      Một bên thì bạn được giao thiết kế phức tạp để tạo sự khác biệt cho website, bên kia lại phải cúi đầu trước một tập đoàn khổng lồ muốn bỏ qua toàn bộ thiết kế web và đẩy nội dung vào một UI dựng sẵn
      Thật may vì nó đã biến mất. Với thành tích chung của Google thì lẽ ra phải biết nó sẽ chết trong vài năm
    • Lần WEI trước cũng vậy, nhân viên Google đã hạ thấp tác động của nó, nói chẳng có gì to tát và mọi người chỉ đang cuồng loạn. Vừa kiểm tra lại thì những người từng bênh vực nó giờ đều đã rời công ty
      Một làn sóng quản lý Google mới muốn ghi điểm với cấp trên sẽ sớm xuất hiện để bảo vệ kế hoạch mới này
    • Không thấy mọi thứ quanh mình đang khép lại sao? Đây không chỉ là chuyện của Google. Chính phủ và doanh nghiệp trên khắp thế giới đang cùng lúc hành động. Cái thòng lọng sẽ siết dần rồi đến lúc nào đó siết chặt cùng một lúc, và nó nhắm vào tất cả chúng ta
      https://community.qbix.com/t/increasing-state-of-surveillanc...
      Các mối đe dọa này ăn khớp với nhau theo thiết kế hoặc do xu hướng hội tụ. Lớp danh tính (1~5) tạo điều kiện tiên quyết cho các lớp còn lại, và khi danh tính được thiết lập ở mức SIM/tài khoản/thiết bị, sẽ xuất hiện các ngoại lệ cho phép giám sát về mặt chính trị. Người có quyền lực thì được miễn trừ, còn người dùng bình thường thì bị giám sát
      Lớp thiết bị (10~12, 16~19) tạo ra các đầu mút giám sát. Nếu nội dung bị quét ngay trên thiết bị trước khi mã hóa, thì lớp bảo vệ mã hóa ở tầng truyền thông trở nên vô nghĩa
      Lớp truyền thông (6~9) là lớp được bảo vệ tốt nhất từ trước đến nay, và các nỗ lực quét hàng loạt đã nhiều lần bị chặn lại. Đây là lớp có thành tích kháng cự tốt nhất
      Lớp báo cáo (13~15) còn đang ở giai đoạn đầu. Các hook báo cáo trực tiếp từ hệ điều hành tới chính phủ vẫn chưa được triển khai trên quy mô lớn, và đề xuất tháng 12/2025 của Anh đang ở tuyến đầu của việc đó
      Kiểm soát nền tảng (20~24) quyết định liệu có thể tồn tại phương án thay thế hay không. Sự đa dạng về trình duyệt, phân phối ứng dụng và engine là các cơ chế bảo vệ mang tính cấu trúc, nhưng cả ba đều đang thu hẹp
      Một xã hội mà cả năm lớp này đều hoàn thiện sẽ có hạ tầng giám sát toàn diện kèm các điều khoản ngoại lệ cho giới tinh hoa. Chúng ta hiện đang ở đâu đó quanh mốc 40%. Việc hạ tầng đó có trở thành phản địa đàng hay không không phụ thuộc vào công nghệ mà là lựa chọn chính trị
      Cả HN dường như vô cảm một cách đáng kinh ngạc trước việc thòng lọng đang siết lại, vì rất nhiều người phản đối mạnh mọi phương án thay thế phi tập trung và phân tán có dính chút token nào. Bạn có thể phàn nàn, nhưng việc để tư duy bầy đàn chôn vùi rồi downvote các lựa chọn phi tập trung cũng khiến bạn phần nào đồng lõa với sự xói mòn quyền riêng tư và tự do. Ngay cả khi không đồng ý với một dự án, bản thân công sức bỏ vào đó vẫn xứng đáng được upvote. Không có những nỗ lực như vậy thì coi như hết đường
    • Không phải là “đang nhanh chóng thay đổi”, mà vốn dĩ đã thế từ lâu
      Google đã theo nghĩa đen lập ra các cartel như “Open Handset Alliance” từ hàng chục năm trước
      Bằng cách kiểm soát Chrome và Search đang ở thế độc quyền, Google nắm quyền tuyệt đối đối với cách website được hiển thị và có thể được tìm thấy hay không

  • Rất khuyến khích rời bỏ Chrome. Google đã đánh mất hoàn toàn sự tôn trọng
    Đây có thể chỉ là một bước đi nhỏ, nhưng có thể mở cơ hội cho các bên khác như thời Chrome mới xuất hiện

    • Tôi đã thật sự cố rời Chrome khi họ phá hỏng trình chặn quảng cáo, và dùng thử các lựa chọn khác trong vài tháng, nhưng không thích các trình duyệt khác
      Trên Mac tôi chủ yếu dùng Safari, nhưng trên Windows thì không có lựa chọn đó; các tên tuổi lớn thì không hợp ý còn các bên nhỏ thì khó tin cậy
      Ngay cả những tay chơi nhỏ “lớn” cũng không đáng tin lắm về mặt bảo mật. Đã từng có trường hợp như tính năng “Boosts” của trình duyệt Arc cho phép thực thi mã từ xa
      Thế là cuối cùng tôi quay lại Chrome

  • Tôi ghét hầu hết mọi thứ Google làm, nhưng bài này có vấn đề
    Đoạn “với các tác vụ cần Play Integrity chứng thực, thiết bị Android đáp ứng chuẩn hiện có giá thị trường khoảng 30 USD” đang giả định logic phía Google chỉ kiểu if(attestationResult == "success") allow(). Nhưng không khó để hình dung loại thiết bị sẽ được đưa vào một điểm gian lận nào đó. Ví dụ, thiết bị đắt tiền có thể có điểm gian lận thấp hơn thiết bị rẻ, từ đó hạn chế việc mua số lượng lớn thiết bị giá rẻ. Họ cũng có thể phân tích tổ hợp thiết bị của một trang cụ thể, nên nếu hàng nghìn điện thoại sản xuất tại Trung Quốc đột nhiên đăng ký vào Anne's Muffin Shop thì chắc sẽ bị chấm điểm gian lận cao hơn
    Đoạn “Firefox for Android không có trong danh sách trình duyệt được Google Fraud Defense hỗ trợ” cũng vậy: trình duyệt chỉ cần hiển thị mã QR, nên với Firefox mobile thì chỉ cần mở deep link tới Google Play Services của điện thoại hoặc hiện mã QR là được
    Phòng thủ bot bằng bằng chứng công việc hầu như chưa bao giờ có chỗ đứng, vì hiệu năng JavaScript kém và thời gian con người đắt hơn thời gian máy tính. Kẻ tấn công không quan tâm chuyện máy chủ phải chờ 10 giây để giải bài toán PoW, nhưng con người thì có. Một máy chủ 8 lõi ở Hetzner giá 10 xu mỗi giờ. Kể cả giả sử ai cũng dùng CPU cỡ desktop 8 lõi, thì một thử thách 6 phút cũng chỉ tốn 1 xu cho kẻ tấn công. Còn người bình thường sẽ định giá 6 phút thời gian của mình là bao nhiêu?

  • Chuyện này thật sự ghê tởm, và việc cố âm thầm nhét nó vào mà không có thảo luận công khai là cực kỳ thiếu thiện chí. Hy vọng lần này cũng bị chặn lại như lần trước. Ít nhất thì vấn đề chống độc quyền có vẻ khá rõ ràng

    • Tôi đồng ý về khía cạnh chống độc quyền, nhưng không chắc ngày nay điều đó có còn được xem là rào cản nghiêm trọng hay không
    • Lần trước Google cũng tìm cách giữ khoảng cách bằng việc dùng GitHub cá nhân của nhân viên để tẩy trắng chuyện này, rồi đóng gói đề xuất theo cách thiếu thiện chí nhất có thể như thể đó là điều người dùng mong muốn
      Thực chất đó chỉ là một cơ chế khác để Google thực thi quyền kiểm soát

  • Có thể đây là câu hỏi ngớ ngẩn, nhưng tôi không hiểu cái này hoạt động với người dùng iPhone ra sao. Không có Google Play, trong khi ở đây có vẻ cần Android/Google Play
    Họ chắc không thể loại cả một phần lớn thị trường như thế được

  • Bài này đầy những giả định sai
    Ví dụ có đoạn “người vận hành bot thực hiện tự động hóa đơn giản bằng phần cứng có sẵn để chĩa camera vào màn hình. Với tác vụ cần Play Integrity chứng thực thì cần thiết bị Android tương thích giá 30 USD”
    Bot farm không thể lách lâu dài bằng điện thoại 30 USD. Bạn thật sự nghĩ Google sẽ thấy cùng một mã định danh phần cứng xuất hiện hàng nghìn lần mỗi ngày mà không coi đó là hành vi gian lận sao?
    Tôi đánh giá cao việc Google thật sự đưa ra một đề xuất để tránh việc web biến thành đống rác AI vô tận. Bài này không đưa ra phương án thay thế tốt hơn, và tôi muốn thấy điều đó

    • Điện thoại rất rẻ, đặc biệt là hàng tân trang. Chỉ cần bắt chước chu kỳ ngủ/thức giống đời thực và thỉnh thoảng cho nghỉ. Tính cả hao hụt thời gian hoạt động thì dùng thêm 25% số thiết bị là được
      Hơn nữa, thực tế cũng có người thật ngồi lướt điện thoại cả ngày lẫn đêm. Họ có thể là người thất nghiệp, người khuyết tật, hoặc người bị rối loạn giấc ngủ hay hưng cảm. Vì vậy rất khó coi đó là tín hiệu tốt mà không tạo phản ứng dữ dội hơn. Chắc chắn người ta sẽ muốn tránh gây phản ứng từ những người khốn khổ có quá nhiều thời gian rảnh
    • Điều đặc biệt buồn cười là đây là content marketing để bán “CAPTCHA” bằng chứng công việc dựa trên tính toán
      Kiểu đó hoàn toàn là công nghệ lừa bịp, và về tính kinh tế có thể sẽ có lợi cho kẻ lạm dụng hơn kiểu chứng thực này ít nhất tới bốn bậc độ lớn
    • Có vẻ AI đã chép con số 30 USD đó từ bình luận HN của tôi. Dù vậy ở Mỹ thì đúng là như thế. https://www.walmart.com/ip/Straight-Talk-Motorola-Moto-g-202...
      Khóa nhà mạng không quan trọng trong trường hợp này. Tôi không rõ ở EU việc lưu mã định danh thiết bị duy nhất có hợp pháp hay không
    • Có vẻ rồi sẽ có người thương mại hóa thứ này. Sự phụ thuộc vào điện thoại đám mây đã tồn tại, còn dịch vụ giải CAPTCHA cũng đã chứng minh có nhu cầu, nên nếu nó thành dịch vụ cloud thì lại quay về vạch xuất phát
    • Nhận định rằng bot farm không thể lách lâu dài bằng điện thoại 30 USD đã sai rồi. Họ đã làm vậy từ lâu, và chi phí thực tế còn gần dưới 5 USD mỗi thiết bị hơn là 30 USD
      Vì họ chỉ cần mua những món tệ nhất trong thị trường đồ cũ
      Đặt cược vào chứng thực thiết bị chẳng khác nào đặt cược rằng smartphone sẽ bớt phổ biến hơn và chi phí sở hữu sẽ đắt hơn. Tôi không nghĩ điều đó sẽ xảy ra

  • Tôi hiểu vì sao Google muốn làm việc này, và cũng hiểu vì sao mọi người phản đối chính giải pháp cụ thể này
    Cũng cần nhìn ra rằng tác giả bài viết này đang bán một giải pháp bằng chứng công việc cho vấn đề đó
    Tôi khá hoài nghi việc bằng chứng công việc có phải hướng đi đúng ở đây hay không. Nhiều người dùng web vẫn dùng phần cứng cũ. Việc thêm một loại phí tổn tính toán không giải quyết được vấn đề trong một thế giới mà tài nguyên tính toán khả dụng giữa mọi người chênh lệch rất lớn
    Trong khi đó botnet có thể truy cập hàng nghìn máy tính và có thể không quan tâm việc chờ thêm 10 giây. Tệ hơn nữa, chúng có thể làm giải pháp tùy biến dựa trên ASIC để giải câu đố bằng chứng công việc nhanh hơn máy tính xách tay của bà cụ hàng nghìn lần