Google testar en ny typ av reCAPTCHA där användaren uppmanas att slå på kameran och visa handen för att bevisa att det sitter en människa framför skärmen. Testet ingår i Google Cloud Fraud Defense, den bredare plattform som bygger vidare på reCAPTCHA för att stoppa bottrafik, falska konton och kapade inloggningar.
Enligt Googles dokumentation analyseras en eller flera korta videor av användarens hand. Systemet extraherar sedan 21 punkter från handen, bland annat fingerleder och knogar, för att avgöra om rörelsen ser mänsklig ut. Google skriver att ljud inte spelas in, att videon inte kopplas till användarens identitet och att bilder eller videor raderas när kontrollen är klar.
Tekniken liknar den handspårning som Google använder i MediaPipe, där modellen kan hitta 21 handpunkter i en bild eller videoström. Det är i grunden samma typ av datorseende som används i geststyrning, AR-funktioner och appar som behöver tolka handrörelser i realtid.
Testet knäcktes med en vanlig bild
Problemet är att säkerheten redan ifrågasätts. Tom’s Hardware rapporterar att testare lyckades ta sig igenom den nya reCAPTCHA-kontrollen genom att mata in en statisk stockbild av en hand via OBS Virtual Camera. Ingen levande person behövdes framför kameran, ingen avancerad AI och ingen faktisk videorörelse.
Det är en pinsam svaghet, eftersom hela poängen med kameratestet är att höja ribban jämfört med äldre CAPTCHA-varianter. Om systemet accepterar en bild som simulerad kamerakälla blir det framför allt vanliga användare som får mer friktion, medan den som vill automatisera attacken kan bygga runt kontrollen.
Här finns en viktig teknisk detalj. Ett system som bara letar efter handpunkter i en kamerabild kan vara bra på att känna igen en hand, men det är inte samma sak som att bevisa att handen är levande, närvarande och kopplad till personen som använder webbläsaren. För det krävs starkare kontroll av videokällan, rörelse över tid eller andra signaler som är svårare att fejka utan att samtidigt bli mer integritetskänsliga.
CAPTCHA-systemen har tappat sitt övertag
Googles test kommer i ett läge där klassiska CAPTCHA-lösningar har allt svårare att skilja människor från automatiserade system. I en studie från 2024 visade forskare att reCAPTCHA v2 kunde lösas med 100 procents träffsäkerhet med hjälp av moderna objektigenkänningsmodeller. Forskarna pekade också på att skillnaden mellan hur många utmaningar människor och botar behövde lösa var liten.
Det förklarar varför Google och andra aktörer försöker hitta nya vägar. Bildpussel har blivit lättare för datorseende. Osynliga riskpoäng väcker frågor om spårning. Kamerabaserade kontroller kan kännas mer direkta, men öppnar i stället dörren till frågor om kroppsliga data, tillgänglighet och användarens vilja att ge webben kameraåtkomst.
Google beskriver reCAPTCHA som den visuella botteknik som numera driver Google Cloud Fraud Defense. Plattformen ska skydda hela kundresan, från kontoregistrering och inloggning till köp och betalning, och är tänkt att hantera hot som falska konton, credential stuffing och automatiserad trafik.
Branschen letar efter en väg bort från bildpussel
Samtidigt arbetar Cloudflare, Google, Mozilla och Microsoft med ett alternativ som kallas Private Access Control Tokens, PACT. Tanken är att webbläsaren ska kunna bevisa att en legitim användare finns bakom en begäran, utan att webbplatsen behöver känna till vem användaren är eller följa personen mellan sajter.
Mozilla beskriver PACT som ett försök att minska både CAPTCHA-friktion och invasiv spårning. I stället för att varje webbplats ska tvinga användaren genom nya test ska systemet kunna ge en begränsad signal om att trafiken är legitim. Det är fortfarande en tekniskt och politiskt svår modell, men den pekar på vart branschen är på väg.
Det gör Googles handtest extra intressant. Det kan vara ett kortlivat experiment, men det visar hur långt kampen mot botar håller på att pressas. När bildtester blir för enkla för AI och vanliga riskmodeller kräver allt mer data hamnar nästa gräns vid användarens kamera.
Google har inte sagt om handbaserad reCAPTCHA ska rullas ut brett. I sitt nuvarande skick ser tekniken mer ut som ett test av var gränsen går än en färdig lösning. För användaren är frågan enkel: hur mycket av sig själv ska man behöva visa för att få komma in på en webbplats?



