Token 价格一降,我写爬虫那套肌肉记忆就开始隐隐作痛。以前为了绕过验证码,得养一池子打码平台账号,半夜盯着识别率掉到 70% 以下就心慌,现在直接截图丢给 GPT-4V,它慢悠悠给你把歪歪扭扭的字母念出来,比人眼还准。这感觉就像你苦练十年开锁技术,终于成了江湖一绝,结果人家发明了激光切割机,整面墙都给你卸了。
我翻出 2018 年写的那个分布式验证码破解框架,当时为了对抗滑块拼图,我研究了整整两个月的轨迹模拟算法,用 PyAutoGUI 录了上千条人类鼠标移动数据,训练了一个 LSTM 模型来生成更“人性化”的滑动曲线。团队里的小孩看不懂,问我为什么不直接接打码平台,我说你们懂个屁,API 调用有频率限制,平台要钱还随时跑路,自己手里有枪才踏实。结果现在“枪”变成了博物馆里的燧发枪,大模型是洲际导弹,它不跟你讲什么 DOM 树解析、图像二值化、轮廓检测,它直接理解“图片里有什么文字”,然后告诉你。防守方花几个月迭代的扭曲、粘连、背景干扰噪音,在真正的视觉智能面前成了纸糊的城墙。
这让我焦虑得半夜又爬起来跑实验。用 Playwright 自动化登录十个用了不同验证码的网站,截图,调用 OpenAI 的视觉接口,统计识别成功率。数据出来是 94.7%,失败的那几个是因为图片加载延迟被误截了空白图。成本呢?处理这十张图花了大概 0.3 美分。我盯着这个数字愣了半天,想起 2019 年为了谈下一个大客户的数据采集项目,我在对方技术负责人面前吹嘘我们的验证码破解方案“行业领先”,破解率 85%,单次成本控制在 3 分钱人民币。当时觉得这是核心技术壁垒,现在这点壁垒被 Token 的洪流冲得连渣都不剩。
所以防守的意义在哪?传统的安全攻防是同一个维度上的军备竞赛,你加干扰线,我搞降噪算法;你上滑块,我模拟轨迹。现在攻方直接开了新地图,规则变了。不是“破解”验证码,是“理解”验证码。就像当年机枪出现后,骑兵冲锋就成了送死。防守必须升级到更高维度,得验证你是不是真人,而不是你能不能认出扭曲的字母。但更高级的验证比如行为生物特征分析、设备指纹,成本又太高,大部分中小网站根本玩不起。这个断层期,就是野蛮采集的窗口期。
我意识到不能再沉迷于“破解”的成就感了。Token 便宜意味着调用智能的门槛变成了纯粹的金钱成本,而金钱在规模化面前是可以被均摊的。以前的核心竞争力是技术黑魔法,是那些藏在代码里的奇技淫巧。现在的核心竞争力可能变成了:谁能用最便宜的 Token,最稳定地调度大模型的“理解力”,去自动化完成一个完整的商业流程。验证码识别只是这个流程里最初级的一个环节,一个本不该存在的“摩擦力”。墙消失了,我应该去思考怎么在平地上盖摩天大楼,而不是怀念怎么挖地道更有效率。比如,能不能让 AI 看完一家公司所有公开的招标公告,理解项目要求,自动生成符合格式的资质文件初稿?这比识别几个字母值钱多了。
但想想又觉得可怕。我现在能想到的“盖楼”方法,会不会在明年又被更新的技术降维打击?这种焦虑和 2016 年担心 SEO 算法更新时一模一样,只是这次对手不是百度的工程师,而是整个基础模型迭代的速度。手里这把“新枪”,保质期有多久?
