Методи обходу captcha та контрзаходи в умовах розвитку мультимодальних моделей

UKR: У статті систематизовано сучасні підходи до обходу CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) для текстових, графічних, аудіо та інтерактивних схем і проведено комплексний огляд контрзаходів з урахуванням еволюції глибинного навчання, мульти-модальних мовно-зорових моделей (VLM/LLM) і ринку «людина в циклі» (solver-сервіси). На основі аналізу наукових публікацій і промислових практик запропоновано таксономію атак: від класичних сегментаційно-OCR ланцюгів і end-to-end розв’язувачів для grid-завдань до емуляції поведінки (RL), ретрансляційних атак і соціальної інженерії. Для порівняльноїоцінки загроз введено триєдину метрику SR-C-T (success rate -cost -time-to-solve) з додатковими ознаками detectability та scalability, що дозволяє узгоджувати політики захисту з економікою нападника та обмеженнями інфраструктури. Розглянуто адаптивні «невидимі» механізми на базі ризик-скорингу (reCAPTCHA v3, hCaptcha, Turnstile), докази виконаної роботи (PoW) і архітектурні прийоми-ескалація викликів, honeypot/канарки, короткий TTL і token binding для зниження ефективності relay-схем. Окремо проаналізовано альтернативи класичним пазлам -Privacy Pass / Private Access Tokens (IETF RFC 9576/9577/9578), що дають змогу підтверджувати «якість клієнта» без надмірного збору поведінкових/пристроєвих сигналів і з меншим тертям для доброчесних користувачів.Показано, що підвищення складності викликів без супровідних архітектурних змін має обмежений ефект через доступність solver-ринку та зростання можливостей VLM/LLM; натомість шарована стратегія (пасивний скоринг → керована ескалація → PoW/MFA → token-level контрзаходи) забезпечує кращий баланс «безпека -зручність -приватність». Узгоджено вимоги доступності за WCAG 2.2 та позицію W3C щодо недоступності окремих типів CAPTCHA, сформульовано рекомендації з надання еквівалентних альтернатив для користувачів з порушеннями зору/слуху. Практичний внесок роботи дорожня карта впровадження з контрольними метриками SR-C-T, принципами A/B-налаштування порогів, anti-relay гігієною й періодичною ротацією моделей/викликів, а також матриця відповідності «тип атаки → контрзахист» для типових сценаріїв зловживань.

ENG: The paper systematizes contemporary approaches to CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) circumvention across text-, image-, audio-, and interaction-based schemes and provides a comprehensive review of defensive measures in the context of advances in deep learning, multimodal vision-language/large language models (VLM/LLM), and the human-in-the-loop solver market. Based on academic literature and industrial practice, a taxonomy ofattacks is proposed: classical segmentation-OCR pipelines and end-to-end solvers for grid tasks; behavior emulation (reinforcement learning); relay attacks; and social engineering. For comparative threat assessment, the SR-C-T triad (success rate -cost -time-to-solve) is introduced with auxiliary dimensions of detectability and scalability, enabling alignment of protection policies with attacker economics and infrastructure constraints. We examine adaptive “invisible” risk-scoring mechanisms (reCAPTCHA v3, hCaptcha, Turnstile), proof-of-work (PoW), and architectural techniques -challenge escalation, honeypots/canaries, short TTLs, and token binding -that reduce the effectiveness of relay schemes. As alternatives to traditional puzzles, Privacy Pass / Private Access Tokens (IETF RFC 9576/9577/9578) allow validating “good client” status without excessive collection of behavioral/device signals and with lower friction for legitimate users.It is shown that merely increasing challenge complexity has limited effect due to solver market availability and growing VLM/LLM capabilities; instead, a layered strategy (passive scoring → controlled escalation → PoW/MFA → token-level countermeasures) provides a better security-usability-privacy trade-off. Accessibility requirements under WCAG 2.2 and the W3C position on the inaccessibility of certain No 9(50)20251502CAPTCHA types are reconciled, with recommendations for equivalent alternatives for users with visual/hearing impairments. The practical contribution is an implementation roadmap with SR-C-T control metrics, A/B threshold tuning principles, anti-relay hygiene, periodic model/challenge rotation, and a mapping from “attack type → countermeasure” for common abuse scenarios.