验证码(Completely Automated Public Turing Test to Tell Computers and Humans Apart)是一种保护计算机免受恶意程序侵扰的有效机制。其工作原理,是利用对于机器而言难以解决的AI问题,来区别合法的人类用户以及非法的恶意程序。以目前最广泛使用的文本验证码以及图形验证码为例,其背后的AI问题分别是字符识别以及目标识别问题。随着大数据时代的到来以及硬件设备的迅速发展,以此为依托的深度学习在各个领域,取得了卓越的成就。普通的字符识别或者目标识别问题,对于深度学习技术而言已经不再是挑战。这也宣示了主流的文本或图形验证码,将无法再保障计算机的安全。因此目前迫切需要一种新型机制来弥补当前验证码的不足。除了利用视觉识别任务作为验证码中的AI问题,研究者也尝试了运用其他一系列任务,例如语音识别、视频内容理解等问题进行验证码设计。然而这些机制往往因为高昂的部署代价,并没有被广泛使用。随着深度学习的研究逐渐深入,研究者们转向了更为复杂、智能化的任务。VQA问题应运而生,这是一种同时涉及计算机视觉和自然语言处理两个不同领域的多模态学习任务。它要求系统能够把图片-问题对作为输入,理解图片中所有物体之间的逻辑关系,并根据问题生成对应的答案。腾讯公司首次将该任务应用于验证码设计,提出了一种称为VTT的新型验证码。每个VTT测试由一张图片和一个文本问题组成:图片中包含了利用渲染器合成的各种物体,这些物体具有不同的视觉属性,包括形状、颜色、大小、位置等;基于图片中物体的属性以及相互之间的逻辑关系,VTT测试将向用户提出一个文本问题,例如“请点击图中黄色方块左边的数字”。VTT的设计者对该机制进行了粗略的安全性评估,声称VTT比起传统的验证码具有更好的安全性。本文的工作将围绕验证码背后的AI问题以及验证码的安全性分析展开,具体包括以下三个方面:(1)以腾讯VTT作为主要研究对象,进行基于VQA任务的验证码安全性分析。考虑现实场景中对于速度以及准确率的需求,分别设计了两套不同的框架,并对VTT验证码进行了攻击实验。两种攻击方法分别实现了52.7%以及88.0%的破解成功率,证明了将VQA任务运用于验证码设计,仍然无法确保其安全性。(2)通过对攻击失败的样本进行综合分析,证明了机器在解决VTT中的“抽象属性”上,在目前仍然存在着巨大的缺陷。针对当前机器学习算法的缺陷,将抽象的“常识知识”与传统的图像识别以及自然语言理解任务融合,设计了一种全新的常识验证码。为验证新验证码机制的安全性,本文利用(1)中提出的两套框架,分别对常识验证码展开了攻击实验。结果表明了新机制有效的降低了攻击者的破解成功率。而随后进行的用户友好性实验中,良好的验证速度以及通过率表明常识验证码兼具良好的可用性。证明了在未来的验证码设计中,常识知识的潜力。(3)对当前主流的验证码机制背后所蕴含的AI问题进行了归纳总结,结合了本文工作中的攻击实验,对提升验证码安全性提出了一系列的设计意见,并对未来的验证码设计做出了展望。