1 pontos por GN⁺ 2025-08-21 | 1 comentários | Compartilhar no WhatsApp
  • Não é possível acessar o site lock.cmpxchg8b.com
  • O problema de acesso ocorre devido à lentidão na resposta do servidor
  • Inclui orientações para verificar a conexão de rede e o estado do roteador ou modem
  • Também recomenda verificar as configurações de proxy
  • É apenas um problema simples de conexão, sem explicação de relação direta com o acesso ao kernel Linux

Aviso de indisponibilidade de acesso ao site

  • O site lock.cmpxchg8b.com não está respondendo
  • É exibido um aviso sobre problema de atraso na conexão (timeout)
  • Recomenda-se reiniciar os equipamentos de rede (roteador, modem etc.)
  • Solicita-se verificar novamente as configurações que permitem o acesso à rede
  • Também inclui a recomendação de alterar as configurações de proxy no navegador Chromium e usar conexão direta
  • Não há explicação técnica direta de que o próprio acesso ao kernel esteja bloqueado nem de relação com uma imagem específica de personagem (garota-gato de anime)

1 comentários

 
GN⁺ 2025-08-21
Comentários do Hacker News
  • Como este é um lugar onde geralmente se reúnem pessoas com bastante familiaridade técnica, fico me perguntando se muita gente realmente não consegue entender como funcionam ou qual é a intenção de proteções como o Anubis, ou se estão fingindo não entender de propósito e tratando isso com desdém
    É óbvio que desenvolvedores de bots raspadores de IA vão descobrir um jeito de contornar isso em algum momento, mas o importante é que funcionou por um tempo
    Quando os desenvolvedores de bots criarem novos métodos de evasão, também vão surgir novas ferramentas de “provar que não é bot”
    No fim, isso é simples: se aplicar um método novo mantém o site seguro por um ou dois meses, isso por si só já é um resultado satisfatório
    É muito melhor do que ter que considerar bloquear redes inteiras enquanto se aguenta dezenas de requisições por segundo
    Por exemplo, se você colocar uma pergunta num formulário como “quanto é 7+2?”, claro que o coletor consegue calcular a resposta, mas no fim ainda cabe a um humano dizer ao scraper “como ele deve fazer isso”

    • Eu gostaria de poder ver em números qual efeito real o PoW (Proof-of-Work) do Anubis teve em sites de verdade
      Tenho um site pequeno hospedado num servidor pessoal, então não olho muito logs ou estatísticas, mas algum dia meu site também pode sofrer crawling agressivo
      Pelo material público disponível hoje, só dá para ver o desempenho do próprio PoW, não quanto ele realmente ajudou em sites reais
      Idealmente, seria ótimo ter estatísticas por tipo de bot, algo como “o bot da OpenAI era 17% das requisições totais e caiu de 900 mil por dia para 0”
      Quando você pesquisa, só encontra um monte de posts de blog dizendo que “o Anubis bloqueou o crawling”, mas faltam dados reais
      Além disso, na thread abaixo encontrei dados em PDF como estes, mas não há análise de quantos clientes reais acabaram bloqueados
      Eu gostaria que houvesse dados mais variados

    • Hoje em dia é comum ver a tela intermediária de carregamento do Cloudflare em vários sites e, ainda assim, as pessoas reclamam que proteções como o Anubis não são muito usadas
      Acho isso um tanto irônico

    • Desde que o Anubis apareceu pela primeira vez, achei ineficiente
      Primeiro, porque os scrapers já estavam rodando navegadores completos e esperando a página estabilizar por completo, então não é difícil contornar esse método
      Segundo, porque para uma IA ler a página seriam necessários cerca de 5 segundos de processamento chegando a 1600W, e meu celular dificilmente seria tão eficiente quanto hardware de servidor, então pode levar bem mais de 5 segundos
      Fazer tudo isso ao mesmo tempo ainda esquenta o aparelho e torna a estrutura ainda mais ineficiente

    • Na minha opinião, o PoW em si não bloqueia raspadores de IA; o que bloqueia é o procedimento incomum de acesso ao site criado pelo Anubis
      Se isso for verdade, o Anubis talvez já fosse suficiente mesmo sem a função de PoW, evitando que visitantes humanos legítimos fiquem olhando uma tela de carregamento por alguns segundos e desperdicem recursos do aparelho

    • Uma checagem simples como 7+2 só restringe usuários que querem enviar algo, mas o Anubis afeta todos os usuários mesmo quando estão apenas lendo o site

  • Acho que o objetivo principal do Anubis é controlar o branqueamento de identidade de crawlers (ataque Sybil) e o crawling paralelo
    Os padrões de acesso seriam os seguintes:

    • Cliente com JS e cookies → o servidor pode aplicar rate limiting usando cookies. Humanos quase não são afetados, mas crawlers têm a velocidade muito reduzida ou o acesso bloqueado. Claro, a identidade (cookie) pode ser trocada, mas isso passa a ter o custo adicional de resolver puzzles
    • Cliente sem estado com apenas JS → também há custo alto por acesso e isso é eficaz
    • (Sem JS → acesso impossível)
      A ideia central é evitar que o servidor seja sobrecarregado por acessos simultâneos excessivos
      Mesmo que o crawler envie vários pedidos em paralelo, cada requisição passa a ter custo extra e limites, então o servidor deixa de quebrar como antes com milhares de acessos de bots por segundo
      Esse é o efeito prático do Anubis
    • JS não é realmente necessário
      Basta ter um script que passe pelo Anubis e resolva o desafio para contornar isso
  • Antigamente eu achava esse tipo de abordagem procedural não só incômoda, mas também de utilidade duvidosa para autenticar pessoas de verdade
    Esses desafios podem ser automatizados com facilidade e baixo custo
    Eu mesmo fiz e usei uma extensão de navegador que remove "Mozilla" do User Agent em sites que rodam Anubis
    Como na maioria eu não uso JS nem cookies, eles não conseguem nem completar o desafio, e em alguns self-hosted como certos Gitlab, onde permito JS e cookies, eu não quero que os recursos do meu computador sejam usados para mineração

    • É preciso tomar cuidado ao mexer no cabeçalho User Agent, porque isso quase imediatamente cria um identificador próprio seu
      Fingerprinting de navegador funciona especialmente bem contra usuários com valores incomuns de cabeçalho
      Se você usa um Safari sem modificações, compartilha exatamente os mesmos valores com milhões de usuários, mas no momento em que altera o User Agent isso pode virar um identificador único

    • Se o site for “sticky”, fico pensando se não seria realmente possível minerar criptomoedas como Monero em segundo plano
      Seria bom se o navegador exibisse um alerta como “Este site está usando excessivamente o seu computador em segundo plano. Deseja interromper?”

    • Fico na dúvida se mudar o valor do User Agent não acabaria quebrando outras funções
      A maioria das strings de User Agent dos navegadores já está cheia de “mentiras” padronizadas, então dá um certo receio mexer nisso

    • Achei interessante a extensão que você fez
      Isso me faz pensar se seria possível forçar a codificação de texto da página para japonês

    • Se bots de IA também puderem simplesmente mudar o User Agent da mesma forma, no fim o resultado não seria o mesmo?

  • Sobre a discussão de se a personagem do Anubis não seria uma gata, o próprio nome Anubis vem do deus egípcio geralmente retratado como chacal ou cão
    Como o nome já indica, ele é o guardião do portal da vida após a morte
    Tecnicamente, “garota-cão”, ou “garota-chacal”, seria mais preciso

    • Isso me deixou bem mais tranquilo, em tom de brincadeira

    • Mas é uma pena que as características visuais originais do Anúbis estejam ausentes

  • Acho que, como provedores de serviços de IA basicamente têm recursos computacionais em datacenters, um esquema de PoW acaba restringindo mais os usuários individuais com menos recursos
    Mas, na prática, o Anubis parece ter sido aceito como a menos pior das opções disponíveis
    Se teoria e realidade diferem, talvez eu esteja deixando passar algo, ou talvez a teoria esteja errada

  • Assim que vi a tela do Anubis, reconheci na hora e espero sinceramente que a garota-gato de anime desse projeto não desapareça

    • Hoje a internet está corporativa e sem graça demais, então é bom ver que esse tipo de elemento fofo ainda existe

    • Como o Anubis originalmente vem do deus egípcio com cabeça de cachorro, ao ver a ilustração eu pensei em “garota-cão”

    • Este não é o único projeto cujo mascote é um personagem de anime
      O ComfyUI também usa oficialmente uma personagem raposa como mascote, e ele é o padrão de fato para interfaces de geração baseadas em Stable Diffusion

    • Se raspadores de IA puderem simplesmente implementar o PoW com seriedade ou só remover “Mozilla” do User Agent, e isso já tornar essa proteção inútil, então talvez o próprio projeto desapareça em breve

  • Sobre a explicação de que “CAPTCHA apresenta um problema difícil para computadores e fácil para humanos”, fico me perguntando se alguém aqui já tentou resolver de fato CAPTCHA do tipo “selecione os quadrados que contêm um rabino ortodoxo”

    • O episódio do CAPTCHA do RapidShare em 2008 foi engraçado
      Link relacionado 1
      Link relacionado 2
      Link relacionado 3

    • Resposta em tom de piada: esse tipo de CAPTCHA nem daria para resolver aos sábados

    • Hoje em dia também há muitos serviços baratos que resolvem CAPTCHA por você
      Tráfego em grande escala de empresas de IA talvez até consiga desconto adicional, e extensões de navegador como o NopeCHA também acertam em cerca de 99%, reduzindo o desgaste de resolver isso manualmente
      No fim, usar CAPTCHA difícil só torna a vida dos clientes reais pior
      Claro, isso partindo da hipótese de que você mesmo não consiga resolver CAPTCHA com IA. Hoje em dia, com IA, isso também já é perfeitamente possível

    • No fim, computadores acabam ficando bons em tudo
      Os CAPTCHAs do começo dos anos 2000 eram realmente difíceis para computadores

  • Acho que também daria para armazenar o identificador dos tokens JWT emitidos enquanto o Anubis está em execução, acompanhar a quantidade e a velocidade de requisições geradas por cada token e, ao ultrapassar certo limite, cancelar o token ou aplicar resposta atrasada ou limitação
    Mesmo que o bot resolva o desafio, se ele mantiver o token e começar a fazer requisições rápido demais, logo sofreria restrições
    Também se pode pensar em limitar a emissão de vários tokens para um mesmo IP

  • Às vezes, quando vejo uma tela como a do Anubis, fico preocupado se não fui redirecionado para algum redirect malicioso ou para algum imageboard esquisito
    Também acho curioso que o kernel.org use a versão gratuita com anime, em vez de uma versão paga sem animação
    Dá até vontade de brincar que a Linux Foundation vive andando de BMW e, no fim, está sem dinheiro mesmo

    • Hoje em dia anime está muito mais popular e a Netflix chega a faturar bilhões por ano com isso, então acho curioso que algumas pessoas ainda pensem outras coisas só de ver uma ilustração de anime inocente como essa

    • Na verdade, o Anubis não é um projeto original, mas um clone do Kiwiflare, então a impressão não está totalmente errada
      Link sobre o Kiwiflare

    • Fico em dúvida se realmente há necessidade de uma versão sem marca
      Em software open source, distribuição costuma ser mais fácil sem precisar de licença separada ou página extra de download
      Se for um projeto do qual você depende, bastaria fazer uma doação, e a menos que haja necessidade real de remover a marca, a marca original pode até transmitir confiança
      Por exemplo, se aparece o mascote do Anubis, eu talvez confie mais no JavaScript e o ative; mas sem marca, pode parecer código de alguma empresa suspeita de CAPTCHA
      O LKML nunca ligou muito para design, então na prática isso talvez não faça muita diferença

  • Métodos de autenticação humana como contar respostas de perguntas que só humanos costumam resolver facilmente também são surpreendentemente eficazes contra filtros baseados em LLM
    Por exemplo, há fóruns que, no cadastro, pedem para contar quantas letras há numa palavra-chave específica ou perguntam o diâmetro de uma peça de automóvel, e isso funcionou muito bem na prática

    • Em fóruns pequenos, só de ajustar bem a estratégia personalizada do processo de cadastro, as inscrições de spam caem bastante
      Em um fórum que eu usava e sofria muito com cadastros de spam, troquei o processo para pedir que a pessoa somasse 1 a um número de 6 dígitos, e o efeito foi dramático

    • É um método comprovado
      Antigamente, num fórum de jogos chamado moparscape, perguntavam “o que é mopar?”, e eu acabava tendo que pesquisar toda vez

    • Mas também é preciso lembrar que algumas dessas perguntas podem ser difíceis para parte dos usuários comuns