于是reCAPTCHA也跟着进化，从简单的文字识别变成了我们今天看到的「请点击所有有交通灯的图片」之类的图片识别任务，以及让用户勾选「我不是机器人」的方式来完成验证。

谷歌在2009年收购了reCAPTCHA后，把这种技术用到了谷歌书籍和Google Maps等项目，用来改进文字识别和地理数据处理。

（顿悟原来我每次呕心沥血完成验证，都在充当Google的人工标注劳动力）

那么，reCAPTCHA究竟是如何判断你是人类还是机器人的？

当你点击这个“我不是机器人”的方框时，reCAPTCHA就会根据你的点击行为判断你是否是一个真实的人类。

点击行为分析背后是非常有趣的领域：人机交互（HCI）与行为生物识别（Behavioral Biometrics）：通过大量的行为数据分析，从用户的日常操作中提取出生物行为特征，与机器人的行为对比。

识别的关键并不在于你是否能在框中完成点击，而在于你点击的动作。

reCAPTCHA通过分析你点击的速度、鼠标的轨迹，以及你在页面上的一些小动作来判断你到底是不是人类。

人在操作鼠标时，手指总是会有些许抖动的。移动路径可能会有一些小弯曲或停顿、速度时快时慢、点击前随着阅读思考有小片刻停顿，或是在点击后追加一些惯性动作。这些微小的变化通常会比机器人更自然。

而机器人则趋向于完美的直线和精准的点击。

大量行为数据分析发现，机器人虽然能快准狠地点击目标，但它们的动作太“完美”，不像人类的随意：鼠标的移动路径通常是最短的直线，点击速度也十分一致。这种差异是用来识别人类和机器人的关键。

（原来我胜出是因为菜…）

Castle（一家专注做账户安全和欺诈检测的公司）的研究员Johan Brissmyr通过记录鼠标在网页上的位置，展示了人机两种截然不同的移动轨迹：包括瞬间跳跃、直线移动和贝塞尔曲线：

可以看出，模拟生成的自动化程序通常会通过直接指定坐标的方式移动鼠标，导致不自然的轨迹，如瞬间跳跃或直线移动（1A）。

通过移动速度和加速度的分析比对，也可以发现机器人轨迹中的加速度通常接近于零，这是识别人机的关键。

人类日常点击鼠标时，随着手腕手指的发力，鼠标的移动轨迹会产生加速度变化。而自动化程序的鼠标移动通常是以恒定速度沿直线完成，加速度接近零。

针对行为分析的结果，系统会为每个用户生成一个“信誉评分”（score）。这个评分从0.1到1不等。分数越高，说明系统越相信你是个真真切切的人类；分数越低，系统就会更加警觉，甚至可能要求你进行进一步验证。

当用户点击太快或轨迹过于“机器人”时，系统给出的低分会触发更复杂的视觉验证，比如让用户选择含有摩托车或街灯的图片，或甚至语音、视频的验证。

系统展示的验证图片一般会具有一定的模糊性或复杂性，这种多角度的物体识别对自动程序来说挑战比较大。因为物体从不同角度看，轮廓、光影会发生变化，会导致识别难度大大增加。

而电脑程序主要根据平面图像来理解三维物体，如果训练数据不够全面，就可能无法准确识别在特定角度下的物体。人类的大脑则天然擅长处理这些变化，即使图片质量不高或角度怪异，也能迅速识别出目标物体。