
Google reCAPTCHA 想你開鏡頭揮手驗真人,私隱同防 bot 都要睇清楚
官方話只抽 21 個手部座標;開鏡頭前,網站同用戶都要諗清楚
先講清楚:呢個唔係全面推出
Android Authority 喺 2026 年 7 月 2 日報道,Google 正測試一種 reCAPTCHA 手勢驗證;Google Cloud Fraud Defense 文件亦已經有「hand gesture verification」頁面,最後更新係 2026 年 6 月 29 日。呢個重點係:而家見到係文件同測試個案,唔好當成所有網站都會即刻彈鏡頭。玩法好直接:網頁觸發 challenge 之後,瀏覽器會問你攞 camera 權限,再叫你用手做指定動作,例如揮手或者攤開手掌。

圖片:Google AI Edge
Google 話收咗咩
官方講法係:reCAPTCHA 會分析一段或多段手部影片,抽出 hand landmark data,入面包括 21 個手部關節座標。Google 話影片唔會同用戶身份綁埋,驗證完成後會刪,唔錄音,亦唔會交相關資料或 camera 權限畀第三方。呢啲承諾重要,因為 camera 權限同普通「揀晒有交通燈嘅格仔」感覺差好遠。就算只係抽座標,用戶見到網站突然要開鏡頭,直覺上都會當係另一級私隱要求。
但文件仲有一句:收集到嘅資訊會按 Google Privacy Policy 使用同儲存。同一頁講明圖片同影片會自動刪,所以呢句唔應該解讀成 Google 會留低你隻手嘅片;不過 hand landmark、風險分數、驗證紀錄保留幾耐,公開文件冇講得好白。呢度先值得追問:唔使講到好恐怖,但 Google 同網站都要交代清楚。
點解而家會走到開鏡頭
背景係 bot 戰線變咗。reCAPTCHA 以前靠圖片題、行為分數同裝置訊號,但而家 AI agent 可以填 form、重試、撳掣,舊式圖片題亦有大量自動化解法。Google 近年擺咗 reCAPTCHA 入 Google Cloud Fraud Defense,賣點已經唔止係「我唔係 robot」checkbox,而係登入、開戶、checkout、付款風險嘅整段防護。手勢驗證其實係同一個方向:用身體動作加多一層摩擦。
真正影響係權限提示
對一般人嚟講,最實際係權限提示。你喺登入、購物車、買飛或者密碼重設頁見到 reCAPTCHA 唔出奇;但如果忽然彈出 camera 權限,先睇清楚網址、頁面係咪真係你想登入或付款嗰個服務。瀏覽器畀你事後收返 camera 權限,企業機同學校機亦可能直接封 camera,所以網站如果開呢類 challenge,fallback 同錯誤文案唔可以求其。
Google 文件亦話,做唔到手勢 challenge 嘅人,可以轉用視覺同聲音 challenge。呢個 fallback 要當正路產品要求處理;手部活動唔方便、鏡頭壞、光線差、公司政策封 camera,全部都會令真人過唔到。網站如果只顧擋 bot,唔理真人點完成流程,最後只會令真人中途走人。
擋 AI bot 有用,但唔好當神盾
手勢驗證理論上可以擋低成本 script,因為 script 要處理 camera feed、手部姿勢同 prompt,而唔係淨係向圖片分類模型丟一堆格仔。不過早期繞過報告已經出現:Tom's Hardware 引述測試者用 stock photo 加 OBS Virtual Camera 過到 challenge;RTF Labs Studio 亦自稱用靜態圖片串成 camera feed 過關。呢啲唔等於 Google 正式版本完全失效,但足夠提醒管理員:呢招唔應該做單一防線。
網站管理員唔好淨係開掣
網站管理員最易犯嘅錯,係見到 Google 有新 challenge 就即刻開。呢類 camera 驗證應該先放喺高風險流程,例如大量開戶、異常登入、優惠碼濫用、checkout 試卡;低風險留言表格一彈鏡頭,只會趕走真人。要做就寫清楚點解要 camera、保留傳統視覺同聲音 challenge、監察通過率同放棄率,再配合 rate limit、風險分數、MFA 或交易規則。
下步睇 Google 點補洞
下一步要睇兩樣嘢:第一,Google 會唔會講清楚座標同驗證紀錄保留幾耐,唔好淨係丟一句 Privacy Policy;第二,佢會點處理 virtual camera、靜態圖同重播攻擊。手勢驗證如果做得好,可以減少一啲低階 bot;做得差,就只係令真人多開一次鏡頭,攻擊者照樣繞路。
參考來源
- Android Authority — Google wants you to prove you’re human with a controversial new reCAPTCHA challenge — original report
- Hand gesture verification | Google Cloud Fraud Defense — 官方文件,確認收集資料、camera 權限、刪除承諾同無障礙 fallback。
- Hand landmarks detection guide | Google AI Edge — Google AI Edge 文件,解釋 21 個手部座標點同 MediaPipe 手部追蹤模型。
- reCAPTCHA: Part of Google Cloud Fraud Defense — 產品頁,交代 reCAPTCHA 已納入 Google Cloud Fraud Defense 同用嚟擋自動化濫用。
- Google testing controversial webcam-based reCAPTCHA that asks for a hand scan to prove you're human — 第三方報道,用嚟交代 stock photo / OBS Virtual Camera 早期繞過個案,文中已標明係外部測試。
- Google’s New Hand-Gesture CAPTCHA: The Rising Cost of Human Proof — 業界評論,補充手勢驗證點解有人會視佢為接近生物特徵嘅風險訊號。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







