AI agent 时代，人机对抗的第9种答案

207

2026-02-03 16:00:31 • 10 min read

AI agent 时代，人机对抗的第9种答案

2026-02-03 16:00:31 • 10 min read

导语

当 GPT-4o 等多模态大模型能够解析复杂的视觉语义、编写代码甚至理解视频时，一个焦虑的声音浮现：

传统的行为验证，是不是已经拦不住 AI 了？

作为长期处于人机对抗前沿的实战方，极验的答案很明确：

人机对抗没有终局，只有持续的升维对抗；
我们率先论证并工程化落地了 SVG 动态验证（极验行为验证的第 9 种验证形式）；
极验的 SVG 动态验证，已在极端攻击场景中展现出极强的防御效果（以 55% 的自动化攻击降低比例，充分印证了其对抗 AI 攻击的有效性）。

过去一年，我们始终关注 AI 技术的发展走向，诚然，AI agent在多模态识别领域取得显著突破，传统“看图识物”式验证形式面临前所未有的压力。

但极验认为，2026年人机对抗的核心，已从单一的“视觉识别”较量，升级为 “逻辑推理”、“交互深度”与“工程成本” 的综合博弈。

本文旨在分享极验在这一方向的深度思考与工程实践：SVG 动态验证。

图 1：极验视觉识别类验证形式・滑动拼图 —— 无需复杂推理，核心依赖基础视觉识别，同时包含轨迹行为数据

图 2：极验逻辑推理类验证形式・消消乐—— 区别于单纯的视觉识别，需结合交互顺序、逻辑关联完成

图 3：极验新增第九种验证形态・SVG动态验证 —— 依托逻辑推理与复杂交互设计，专门应对更特殊、极端的 AI 攻击场景

2025 行业观察：黑产 AI 攻击的三大特征

回顾刚刚过去的 2025 年，互联网业务安全领域出现了一个显著的分水岭：

AI 技术不再是实验室里的 demo，而已成为黑灰产开展攻击的标准化工具，广泛应用于各类业务场景。

通过一整年的行业攻防观察与实战对抗，我们发现AI 驱动下的黑产攻击已形成三大显著进化特征，正持续冲击企业现有安全防御体系：

进化特征一：高智商

人工智能对图形逻辑的理解能力，已经从“模糊识别”进化到了“深度理解”。

2025 年 10 月，美国第三方研究机构 Roundtable.ai 在其发布的最新测评报告《Benchmarking LLMs on CAPTCHAs》中，对Claude Sonnet 4.5（Anthropic）、Gemini 2.5 Pro（Google）和 GPT-5（OpenAI）等多模态大模型进行了实测。

测试表明，新一代 AI 模型在处理主流验证码时具有极高的适应性。

主流模型表现：Claude Sonnet 4.5在 Google reCAPTCHA v2 的挑战中成功率约为 60%，Gemini 2.5 Pro为 56%。
攻克“交叉切片”难题：即使在最复杂的“4x4 交叉切片（Cross-tile）”图像验证码中，这些 AI 模型也表现出比以往单纯的 OCR（字符识别）更强的逻辑推理能力。

图4：各人工智能模型的总体成功率。Claude Sonnet 4.5 的成功率最高，达到 60%，其次是 Gemini 2.5 Pro，成功率为 56%，GPT-5 的成功率为 28%。

图5：静态挑战呈现一个静态的 3x3 网格；动态刷新挑战会动态替换点击的图像；跨图块挑战使用一个 4x4 网格，对象可能跨越多个方格。表格显示了不同 CAPTCHA 类型的模型性能。由于成功率是在挑战级别而非试验级别计算的，因此其低于图 4 中的成功率

进化特征二：低成本

2025 年全球范围内的 “价格博弈”，拉低了黑产进入的门槛。

2025 年，以 DeepSeek 为代表的新生代力量与 OpenAI 及国内互联网巨头轮番下调 API 价格，将 AI 算力变成了随取随用的“自来水”：

DeepSeek 的“分位级”定价：2025 年初，DeepSeek V3 体系将百万 Token 的成本压低至 0.1 元人民币左右。极低的价格让黑产在进行大规模自动化探测时，即便面临极高的封禁率，其经济损失也几乎可以忽略不计。

旗舰模型的“平民化”：OpenAI 在 2025 年对其最强推理模型 o3 降价 80%，并推出高性价比的 GPT-4.1 Mini。曾经昂贵的、涉及复杂逻辑推理的攻击任务，现在的执行成本仅为过去的五分之一。

国内大厂的持续下探：阿里巴巴、字节跳动在 2025 年相继推出大规模节省计划，部分模型降价幅度超过 80%。

图 6：路透社（北京）关于 2025 年全球 AI 模型 API 价格大幅下调的报道截图

进化特征三：工具化

在 2025 年 8 月的 USENIX Security 安全会议上，研究人员发布了通用验证码求解器 Halligan。

与以往针对特定类型（如文本或特定图像）的破解工具不同，Halligan 被定义为首个通用型视觉验证码求解器。

核心原理：它基于多模态大模型（VLM），将验证码挑战简化为一个“搜索问题”。它先通过 CAPTCHA Abstraction（验证码抽象）将视觉挑战转化为实体模型，再解析指令并执行一系列动作（如点击、滑动、拖拽）。
无需训练：它能够直接处理从未见过的验证码挑战，无需针对特定目标进行预训练或微调。
高泛化能力：在包含 26 种主流验证码类型的 2,600 个测试挑战中，Halligan 的平均成功率达到了 60.7%。
实测数据：研究人员通过渗透人类验证码众包平台（CAPTCHA farms），测试了 Halligan 解决现实世界中“从未见过”的验证码的能力，其成功率高达 70.6%。

图 7：2025 年 8 月 USENIX Security 安全会议发布的首个通用型视觉验证码求解器 Halligan 相关论文截图

02 AI 破解的真相：识别 ≠ 通过

结合2025年的实战攻防现状来看，在多模态大模型的加持下，黑灰产的工具箱确实完成了升级，但我们必须厘清一个核心误区：

“让 AI 看懂一张图”，并不等于“让 AI 成功通过一次验证”。

在极验内部的AI 自动化测试中，我们引入了业内主流的多模态大模型进行高强度对抗测试。

数据揭示了一个有趣的现象：

大模型在“视觉理解”上表现优异，但在“交互执行”上却频频碰壁。

我们在持续的对抗测试与攻防观察中发现：

1.位置精度识别并非百分之百

即使是当前先进的多模态模型，在面对带有视觉残影、动态干扰或逻辑陷阱的图形时，仍会出现位置偏差、顺序误判等错误。这种像素级的误差，足以触发风控拦截。

图8：极验内部实验图--AI位置识别错误（偏了10多个像素），且图标识别不全

2.交互理解是主要失败点

当验证指令不再是简单的“点击目标”，而是涉及多步排序、空间关联或抽象逻辑组合时，AI 的执行成功率会出现明显的“断崖式”下跌。

面对需要即时理解语义并完成逻辑闭环的任务，大模型的 Token 消耗和误判率会显著上升。行为验证的对抗核心，已正式从单纯的“视觉识别”转向深层的“交互理解”。

3.成本与时间成为关键约束

大模型的调用，消耗高、响应慢，与验证场景所需的秒级响应天然冲突：

大模型进行图像分析、逻辑推理到生成指令，往往需要数秒时间，而验证码要求毫秒级的响应。这种时间差，不仅暴露了机器特征，更让攻击者的 Token 成本和计算成本，远远高于其破解带来的收益。

而SVG 动态验证正是针对这种时间挑战下的有力手段。

图9：极验实测--主流大模型在面对 SVG 复杂逻辑时，通过效率呈断崖式下跌。其中 Claude sonnet 4 通过率低于 2%，Gemini 3 Pro 则低于 5%，且单次验证平均耗时高达 2 分钟，远超业务容忍极限。

这些观察指向一个结论：仅仅让 AI “看得懂”不够，更要让其“做不对、做不快、做不起”。

未来的对抗将是视觉干扰、交互逻辑、时间约束的三维叠加。

02 SVG 动态验证：为复杂交互而生的第 9 种形态

面对2025年新型AI攻击浪潮，我们需在验证形态上提前储备更高维的对抗能力。

而 SVG 动态验证，正是我们在这一方向上的核心实践成果。

SVG（Scalable Vector Graphics）动态验证并非简单替代现有形式，而是为极端攻击场景设计的一种“专属防御方案”。

SVG不仅是一种图形格式，在极验的安全体系中，它是一种能够承载高维对抗逻辑的技术形态，与传统的JPG/PNG 图片验证不同，SVG 动态验证具有天然的“反 AI”基因：

1、学术理论：打破视觉模型的 “语义天花板”

从学术视角看，大模型的视觉识别能力存在天然的 “空间逻辑短板”：擅长捕捉静态像素的固定规律，却极易在动态空间推理中陷入 “逻辑幻觉”。

极验在测试时针对主流多模态大模型的对抗测试中发现：

陷入推理死循环：面对 SVG 实时生成的矢量路径，AI 往往无法构建有效的特征模型，导致其思维链（CoT）陷入无效的回答循环中，无法给出正确的交互指令。
从“智能识别”退化为“概率撞大运”：在 SVG 的动态干扰下，AI 的识别准确率大幅跳水。实测显示，AI 只能依赖随机概率进行“盲选”，准确率跌至极低。
全方位防御补丁：配合极验的频度限制与增强动态形变技术，我们成功将黑产的攻击速率压缩至冰点，彻底打破了 AI 的语义识别天花板。

图10：实测记录--大模型在尝试破解 SVG 逻辑时报错

2、工程实现：从 “素材博弈” 进化为 “算力博弈”

从工程角度看，SVG 验证彻底解决了传统验证形式静态资产易被爬取、交互简单易被破解的通病，核心体现在三点：

代码生成替代静态图库：每一幅验证图形均由前端代码实时生成，必要时可加入随机变量，验证内容不再是固定的图片 URL，而是后端实时编译、即时下发的矢量指令，攻击者无法通过爬取图库建立 “题库”，从根本上提高自动化爬取门槛；
承载复杂多步交互逻辑：依托 SVG 的灵活性，设计出包含点击、拖拽、路径绘制甚至多层逻辑判断的多步推理交互，并在验证中嵌入时序检测与坐标精度校验，让验证从简单 “选图” 变成需完成的 “逻辑题”；
动态形式打造抗 AI 干扰：利用 SVG 的动态特性引入视觉残影、即时形变等效果，这种对人类肉眼完全友好的自然动画，对依赖静态帧分析的 AI 模型而言，却是难以过滤的巨大噪点和干扰。

最终实现让对抗从 “谁的素材库更全” 的素材博弈，升级为 “谁的算力能支撑多步逻辑和精准交互” 的算力博弈，大幅抬高 AI 的破解成本。

图11：SVG验证要求 AI 必须完成：视觉识别 - 语义理解 -空间推理 -路径规划 -模拟操作，每一个环节的增加，都会导致 AI 的推理失败率指数级上升。

3、案例实践：从主动监测到策略突围

SVG 验证的实际防御效果，并非只停留在实验室测试阶段，而是已在多个高频遭遇重度 AI 攻击的业务场景中完成实战验证。

实战场景：某大型线上交互平台的高强度攻防对抗

该平台遭遇黑产针对性的自动化破解工具攻击后，传统验证形式在面对大规模自动化攻击时，防御压力骤增。极验后台监测数据显示：

上线SVG验证（12月24日）后，攻击通过请求大幅下降，对比常规验证（24日前），攻击量级平均下降55%

策略应用：从 “常规设防” 到 “SVG 突围”

针对常规验证方案拦截效果持续下降的情况，极验立即触发高级防护策略。

SVG 动态验证作为备用防御方案紧急上线，凭借实时代码生成、非图片化呈现的特性，市面上现有的通用破解脚本和识别模型当即失效。

监测数据显示，在 24 日 SVG 策略上线后的极短时间内，整体攻击量级实现了 55% 的断崖式下降。

图13：实战监测（24 日上线前后数据）：当常规防线遭遇通过率异常的高强度突破时，SVG 动态验证作为备用策略紧急介入，自动化攻击量直降 55%，迅速重塑防御壁垒。

03 不是替代，而是策略储备

无论是滑块、点选还是九宫格，极验现有的 8 种验证形式在当前绝大多数业务场景中，依然具备极高的安全性和体验优势。

图14：极验在SVG之前8大可配置的行为验证形式

极验的策略从来不是“赌”某一种形式能一劳永逸，SVG 验证是极验验证矩阵中的一种策略储备。

我们不主张所有业务默认启用 SVG 验证，它真正的价值体现在应对极端、高烈度的攻防博弈场景，SVG 验证将凭借其动态生成、多路径交互和高逻辑门槛，在以下关键时刻为业务提供一道坚硬防线：

业务面临高强度、定制化 AI 攻击时

场景示例：顶流演唱会抢票 / 限量发售在这种“千军万马过独木桥”的瞬间，黑灰产往往提前准备好了自动化脚本，普通的验证形式在针对性训练的视觉识别模型面前，极易被毫秒级秒杀。SVG 的作用：通过“逻辑推理”强制拉长 AI 的交互时间。面对每秒上万次的并发请求，SVG 的复杂交互能让 AI 陷入“思考泥沼”，从而把宝贵的库存留给真人用户。