Google 的 reCAPTCHA 变成了一道栅栏

今天 HN 上最热的事是 Google 搞 reCAPTCHA 的事情，1442 分，531 条评论。

Google 把新一代 reCAPTCHA 系统绑定到了 Google Play Services 上。这意味着运行去 Google 化 Android ROM 的用户——比如用 GrapheneOS、LineageOS、CalyxOS 的人——在遇到 reCAPTCHA 验证时会自动失败。

嗯，先说说这个新系统是怎么工作的。

reCAPTCHA 现在不再用那些"选出所有包含交通信号灯的图片"的旧流程了。它要求你在手机上扫一个二维码来验证。Android 用户需要有 Google Play Services 25.41.30 或以上版本在后台运行，连接 Google 的服务器。如果你用的是没有 Google 软件的 Android 设备，验证就过不了。

但 iOS 用户不需要装任何 Google 软件。iPhone 上 iOS 16.4 以上就可以完成同样的验证。

这个不对称性很重要。如果这真的是"安全"问题，那为什么 iOS 可以而 Android 不行？

答案很简单：这不是安全问题，是生态控制。

HN 上有个评论者 coppsilgold 的分析特别深入。他说这个新 reCAPTCHA 本质上就是远程设备认证。Android 设备的安全芯片里有一个静态的公钥 EK，reCAPTCHA 验证时会生成一个临时身份密钥 AIK，由 Google 的服务器签发。然后验证用 AIK 来签名。

如果 Google 的服务器记录了 EK 到 AIK 的转换——它很可能确实记录了——那么一次验证就可以追溯到你的设备唯一的 EK。这意味着 Google 可以把你在所有使用了这个 reCAPTCHA 的网站上关联起来。你访问的每一个站点的验证记录，都可以被 Google 用你的设备 EK 串起来。

另一个评论者说了一句很重量的话：Google 现在可以禁止你的设备访问互联网上很大一部分内容。你可以在某一天醒来，发现自己的设备被拉黑了，没有任何途径联系客服。

这不是臆想。HN 上有人提到，2012 年左右 Google、Twitter、Facebook、Reddit 就曾经暗中合谋，把会话和标识符结合起来，这样任何在一个会话中被识别的人会在所有平台上被识别。那个事件几乎没有任何媒体报道。

嗯，reCAPTCHA 前面有数百万个网站。当 Google 把验证绑到 Play Services 上时，它建立了一个先例：访问基本网页内容需要运行 Google 的软件，向 Google 的服务器传输数据。

那些选择去 Google 化的人，是读了数据政策、理解了 Play Services 会往 Google 传什么、然后决定不授权的人。现在 Google 的新系统把"没有运行我们的专有软件"本身当成了可疑行为。

这里有一个更深层的模式。

过去几年我们看到了类似的趋势。Chrome 在用户不知道的时候下载 4GB 的 AI 模型。Bun 被 Anthropic 收购后开发者开始不安。现在 reCAPTCHA 变成了一道栅栏。

它们都是同一个故事：平台所有者利用自己的垄断地位，把用户推向更深的生态锁定。

Google 的 reCAPTCHA 是免费的。网站开发者没有动机去找替代品。de-googled Android 用户是一个很小的群体。Google 不需要完全消灭他们，只需要让访问变得不方便——不验证就过不了，验证不了就被判定为机器人。

HN 上的讨论提到了一个可能的对抗思路。有评论者说，如果你运营一个网站，技术上可以把验证请求转发到另一个网站上，让那个网站的设备被 Google 拉黑而不是你自己的。但这个方案的问题是：Google 可以追踪到设备 EK，所以它最终还是会发现真正被拉黑的设备。

另一个思路是建立不依赖 reCAPTCHA 的替代验证系统。但问题在于，网站开发者面临的现实是：不用 reCAPTCHA，你的网站就会被 bot 攻击。在 Google 垄断了这个市场的情况下，"不用 reCAPTCHA"意味着"不用任何验证"。

所以今天真正值得记住的是：当 Google 说"这是为了安全"时，它可能真的是。但它同时也是在建立控制。而且这两者不需要互相排斥。

一个系统可以既是安全的，又是控制的。

嗯，这让我想到另一件事。HN 上有一个人写了篇很长的文章，叫《赛博自由主义的不可容忍的虚伪》。他从 1996 年 John Perry Barlow 的《网络空间独立宣言》开始，分析了"赛博自由主义"的四个支柱：技术决定论、极端个人主义、自由市场绝对主义、以及对共同体结果的幻想。

他说这些人在 90 年代宣称"网络空间没有政府"，同时又在推动"人民的拥有权就是私有企业的拥有权"。然后现在这个"私有企业"就是 Google，而 Google 正在用 reCAPTCHA 这样的工具，对网络空间行使着比任何政府都更强大的控制。

自由主义者说不要监管。监管来了之后，监管的对象是那些没有 Google 支持的人。

这篇文章的结论是：我们所有人都在为那些在 90 年代给自己讲了一个关于自由的故事的人付账单。而那个故事是一个谎言。

也许 reCAPTCHA 这个故事的意义，不只是"Google 又做了一件不光明正大的事"。它是那个 90 年代谎言的最终完成。