世界を動かす技術を、日本語で。

OpenAIのChatGPTエージェントが「私はロボットではありません」認証を気軽にクリアする

2025年7月29日原文(arstechnica.com)

概要

OpenAIの ChatGPT Agent がCloudflareの ボット検知 を突破した事例を紹介。 AIが「人間であること」を証明するチェックボックスを 自動でクリック。 CAPTCHAの歴史と AIによる突破の現状 を解説。 AIによる自動化とセキュリティ対策の いたちごっこ の構図。 今後のCAPTCHAの役割と AI技術の進化 について考察。

ChatGPT AgentがCloudflareのボット検知を突破

  • OpenAIの ChatGPT Agent は、ユーザーのために マルチステップタスク を自動実行できるAI機能
  • このAgentは 仮想OSとブラウザ を持ち、実際のインターネットにアクセス可能
  • ユーザーは ChatGPTインターフェース 上でAgentの操作をリアルタイムで監視可能
  • 実際の購買など 現実世界に影響する操作 にはユーザーの許可が必要
  • Redditのユーザー「logkn」が、AgentがCloudflareの「Verify you are human」チェックボックスを 自動でクリック し、ボット検知を突破する様子の スクリーンショット を投稿
    • Agentは「私は人間であることを証明するためにこのチェックボックスをクリックします」と 自ら説明 しながら作業を進行
  • この現象に対し、Redditでは「人間のデータで学習しているから自分をボットだと思わないのでは?」という 冗談混じりのコメント

CAPTCHAとAIの攻防

  • CAPTCHAは 1990年代 からウェブのセキュリティ手段として活用
    • 画像内の文字や数字を判読させることで、人間とボットを区別
  • Cloudflareの Turnstile は、チェックボックスのクリックやマウス動作、IP、ブラウザ指紋など 複数のシグナル で人間らしさを判定
    • 問題なければCAPTCHA表示なしで通過、疑わしい場合は画像認証などにエスカレーション
  • AIによるCAPTCHA突破は 新しい現象ではない
    • OpenAIの過去のAI「Operator」はCAPTCHA突破に苦戦し、人間に助けを求める設計
    • ChatGPT Agentはより広範囲に展開され、 自動化能力が向上
  • CAPTCHAは完全な防御策ではなく、 ボット攻撃のコスト増大や遅延 を目的とする傾向
    • 一部の悪質業者は 人間を雇いCAPTCHAを大量突破 する手法も
  • CAPTCHAの副次的効果
    • GoogleのreCAPTCHAは 書籍のデジタル化やAI学習 に利用
    • 人間がCAPTCHAを解くことで AIの画像認識精度向上 に貢献
    • 皮肉にも「人間がロボットでないことを証明する過程でAIが進化」

ChatGPT Agentの自動化能力と今後の課題

  • ChatGPT Agentは 視覚的文脈把握人間的判断が必要なマルチステップ作業 も自動化可能
    • CAPTCHA突破以外にも、 ネットスーパーでの買い物代行 などの事例
      • 「健康重視、赤身肉を避け、150ドル以内」という曖昧な指示でも適切な買い物リスト作成・注文
  • ただし、 全てのウェブサイト操作が得意とは限らず、複雑なUIには対応できない場合も
    • Redditでは「自分のAgentはスーパーのサイトにたどり着けなかった」という 失敗談

CAPTCHAとAIの今後

  • AIの進化により、 従来のCAPTCHAの有効性は低下傾向
  • CAPTCHAは今後、 完全な防御策ではなく、攻撃コスト増大策 としての役割が強まる予想
  • 人間とAIの「 いたちごっこ」が今後も続く構図
  • AIの進化によって、 新たなセキュリティ対策や認証方法の開発 が求められる時代

Hackerたちの意見

人々がAIモデルを使ってキャプチャを解決しない理由は、実は人間にお金を払う方がずっと安上がりだからなんだよね。これは広告じゃないけど、Invidiousと統合されてたから知ってるだけだよ:https://anti-captcha.com/ > 1000画像あたり0.5ドルからスタート

これが問題になるのを防ぐものは何もないよ。今のインターネットの状況は惰性で進んでるだけ。

「anti captcha」から見ると、彼らは1秒あたり1000件も解決してるみたいで、60,000件/min、1時間で360万件。これがどうやって行われてるのか、すごく興味あるよね。個人?チーム?半自動化?カスタム技術?何なんだろう?犯罪者のために解決してるの?それとももううんざりしてる人たち?明らかにこの混乱はいつか崩壊するだろうし、犯罪者や回避策を提供してる人たちはすごくやる気があるから、次に何が来るかはもっと早く燃え上がるだろうね。

彼らの従業員の半分はベネズエラ出身みたい。OSRSで生計を立てるためにやってたことを考えると納得だね。

これをブラウザに入れたいし、1000回の使用で1ドル払っても全然構わないよ。

キャプチャは同じ人が何度も通過するのを検出できる。こういう攻撃のコストを上げるためにシャドウバンをしてる。出典:私はhCaptchaの元の検出システムを書いた。

完全無欠の解決策:キャプチャで、いくつかの穴のうちの一つに漫画のワイヤーをドラッグするやつ。「アクセスするには、この電話システムをハックして」ってキャプション付き。誰も手を出さないよ!「私は大規模言語モデルだから、ハッキングはしないよ」

キャプチャ:「正しい本数の指を持つ人間の手を描いて」AIエージェント:激しい汗

実際、AIを使って自分のシステムに対する「レッドチーミング」で、可能な脆弱性を特定するのに成功したことがある。少なくとも非マスクのLLMに対しては、悪口を使わせるのがより良いキャプチャのようだ。彼らは本当に強く言っても、一般的に拒否するから。

これは今後数年の大きな戦いの一つになるだろうね。エージェントが道徳的かつ法的にユーザーであると主張できる条件は何だろう?ユーザーとしては、エージェントには完全な代理人になってほしい。でもウェブサイトの運営者としては、リソースを消耗させるボットの群れは欲しくない。2010年代にMintが銀行口座をスクレイピングしてたのと似たような例かも。どの銀行もスコープ付きのAPIを提供してなかったから、たくさんの顧客が不満を言ってた。Plaidが大きなビジネスになった後、結局彼らは折れてスケーラブルな解決策を作った。ここでの技術的解決策は、アクションのためのMCPエンドポイントを提供することと、静的コンテンツのための直接のBlobストアアクセスの組み合わせかも。(もしかしたら、コンテンツの読み込みを消費者に請求する方法を考えつくかもね。)

まあ、ブラウザエージェントって呼ぶ理由があるんだよね。十分に進化したブラウザは、エージェントと変わらないと思う。ただ、インターネットをツールとして使う能力(実際にはそのツールのツール)が、ほとんどのインターネットにとって望ましくない形でパラダイムを変えることになるのは同意するよ。

身分証明や電話番号を確認する必要がある人にとっては、リアルな問題だよ。ワンタイムパスワード(OTP)は、詐欺師が電話番号をダイヤルして存在を確認するために悪用することで有名だし。人間の確認者が手動でダイヤルしてきたこともあったし、アカウント作成やメール確認、キャプチャも絡んでるから、これからの確認作業がどれだけ悪化するか想像するだけでゾッとするよ(Twilioにとってもね)。

Hacker Newsで議論の続きを見る