Por que garotas-gato de anime estão bloqueando meu acesso ao kernel Linux?
(lock.cmpxchg8b.com)- Não é possível acessar o site lock.cmpxchg8b.com
- O problema de acesso ocorre devido à lentidão na resposta do servidor
- Inclui orientações para verificar a conexão de rede e o estado do roteador ou modem
- Também recomenda verificar as configurações de proxy
- É apenas um problema simples de conexão, sem explicação de relação direta com o acesso ao kernel Linux
Aviso de indisponibilidade de acesso ao site
- O site lock.cmpxchg8b.com não está respondendo
- É exibido um aviso sobre problema de atraso na conexão (timeout)
- Recomenda-se reiniciar os equipamentos de rede (roteador, modem etc.)
- Solicita-se verificar novamente as configurações que permitem o acesso à rede
- Também inclui a recomendação de alterar as configurações de proxy no navegador Chromium e usar conexão direta
- Não há explicação técnica direta de que o próprio acesso ao kernel esteja bloqueado nem de relação com uma imagem específica de personagem (garota-gato de anime)
1 comentários
Comentários do Hacker News
Como este é um lugar onde geralmente se reúnem pessoas com bastante familiaridade técnica, fico me perguntando se muita gente realmente não consegue entender como funcionam ou qual é a intenção de proteções como o Anubis, ou se estão fingindo não entender de propósito e tratando isso com desdém
É óbvio que desenvolvedores de bots raspadores de IA vão descobrir um jeito de contornar isso em algum momento, mas o importante é que funcionou por um tempo
Quando os desenvolvedores de bots criarem novos métodos de evasão, também vão surgir novas ferramentas de “provar que não é bot”
No fim, isso é simples: se aplicar um método novo mantém o site seguro por um ou dois meses, isso por si só já é um resultado satisfatório
É muito melhor do que ter que considerar bloquear redes inteiras enquanto se aguenta dezenas de requisições por segundo
Por exemplo, se você colocar uma pergunta num formulário como “quanto é 7+2?”, claro que o coletor consegue calcular a resposta, mas no fim ainda cabe a um humano dizer ao scraper “como ele deve fazer isso”
Eu gostaria de poder ver em números qual efeito real o PoW (Proof-of-Work) do Anubis teve em sites de verdade
Tenho um site pequeno hospedado num servidor pessoal, então não olho muito logs ou estatísticas, mas algum dia meu site também pode sofrer crawling agressivo
Pelo material público disponível hoje, só dá para ver o desempenho do próprio PoW, não quanto ele realmente ajudou em sites reais
Idealmente, seria ótimo ter estatísticas por tipo de bot, algo como “o bot da OpenAI era 17% das requisições totais e caiu de 900 mil por dia para 0”
Quando você pesquisa, só encontra um monte de posts de blog dizendo que “o Anubis bloqueou o crawling”, mas faltam dados reais
Além disso, na thread abaixo encontrei dados em PDF como estes, mas não há análise de quantos clientes reais acabaram bloqueados
Eu gostaria que houvesse dados mais variados
Hoje em dia é comum ver a tela intermediária de carregamento do Cloudflare em vários sites e, ainda assim, as pessoas reclamam que proteções como o Anubis não são muito usadas
Acho isso um tanto irônico
Desde que o Anubis apareceu pela primeira vez, achei ineficiente
Primeiro, porque os scrapers já estavam rodando navegadores completos e esperando a página estabilizar por completo, então não é difícil contornar esse método
Segundo, porque para uma IA ler a página seriam necessários cerca de 5 segundos de processamento chegando a 1600W, e meu celular dificilmente seria tão eficiente quanto hardware de servidor, então pode levar bem mais de 5 segundos
Fazer tudo isso ao mesmo tempo ainda esquenta o aparelho e torna a estrutura ainda mais ineficiente
Na minha opinião, o PoW em si não bloqueia raspadores de IA; o que bloqueia é o procedimento incomum de acesso ao site criado pelo Anubis
Se isso for verdade, o Anubis talvez já fosse suficiente mesmo sem a função de PoW, evitando que visitantes humanos legítimos fiquem olhando uma tela de carregamento por alguns segundos e desperdicem recursos do aparelho
Uma checagem simples como 7+2 só restringe usuários que querem enviar algo, mas o Anubis afeta todos os usuários mesmo quando estão apenas lendo o site
Acho que o objetivo principal do Anubis é controlar o branqueamento de identidade de crawlers (ataque Sybil) e o crawling paralelo
Os padrões de acesso seriam os seguintes:
A ideia central é evitar que o servidor seja sobrecarregado por acessos simultâneos excessivos
Mesmo que o crawler envie vários pedidos em paralelo, cada requisição passa a ter custo extra e limites, então o servidor deixa de quebrar como antes com milhares de acessos de bots por segundo
Esse é o efeito prático do Anubis
Basta ter um script que passe pelo Anubis e resolva o desafio para contornar isso
Antigamente eu achava esse tipo de abordagem procedural não só incômoda, mas também de utilidade duvidosa para autenticar pessoas de verdade
Esses desafios podem ser automatizados com facilidade e baixo custo
Eu mesmo fiz e usei uma extensão de navegador que remove "Mozilla" do User Agent em sites que rodam Anubis
Como na maioria eu não uso JS nem cookies, eles não conseguem nem completar o desafio, e em alguns self-hosted como certos Gitlab, onde permito JS e cookies, eu não quero que os recursos do meu computador sejam usados para mineração
É preciso tomar cuidado ao mexer no cabeçalho User Agent, porque isso quase imediatamente cria um identificador próprio seu
Fingerprinting de navegador funciona especialmente bem contra usuários com valores incomuns de cabeçalho
Se você usa um Safari sem modificações, compartilha exatamente os mesmos valores com milhões de usuários, mas no momento em que altera o User Agent isso pode virar um identificador único
Se o site for “sticky”, fico pensando se não seria realmente possível minerar criptomoedas como Monero em segundo plano
Seria bom se o navegador exibisse um alerta como “Este site está usando excessivamente o seu computador em segundo plano. Deseja interromper?”
Fico na dúvida se mudar o valor do User Agent não acabaria quebrando outras funções
A maioria das strings de User Agent dos navegadores já está cheia de “mentiras” padronizadas, então dá um certo receio mexer nisso
Achei interessante a extensão que você fez
Isso me faz pensar se seria possível forçar a codificação de texto da página para japonês
Se bots de IA também puderem simplesmente mudar o User Agent da mesma forma, no fim o resultado não seria o mesmo?
Sobre a discussão de se a personagem do Anubis não seria uma gata, o próprio nome Anubis vem do deus egípcio geralmente retratado como chacal ou cão
Como o nome já indica, ele é o guardião do portal da vida após a morte
Tecnicamente, “garota-cão”, ou “garota-chacal”, seria mais preciso
Isso me deixou bem mais tranquilo, em tom de brincadeira
Mas é uma pena que as características visuais originais do Anúbis estejam ausentes
Acho que, como provedores de serviços de IA basicamente têm recursos computacionais em datacenters, um esquema de PoW acaba restringindo mais os usuários individuais com menos recursos
Mas, na prática, o Anubis parece ter sido aceito como a menos pior das opções disponíveis
Se teoria e realidade diferem, talvez eu esteja deixando passar algo, ou talvez a teoria esteja errada
Assim que vi a tela do Anubis, reconheci na hora e espero sinceramente que a garota-gato de anime desse projeto não desapareça
Hoje a internet está corporativa e sem graça demais, então é bom ver que esse tipo de elemento fofo ainda existe
Como o Anubis originalmente vem do deus egípcio com cabeça de cachorro, ao ver a ilustração eu pensei em “garota-cão”
Este não é o único projeto cujo mascote é um personagem de anime
O ComfyUI também usa oficialmente uma personagem raposa como mascote, e ele é o padrão de fato para interfaces de geração baseadas em Stable Diffusion
Se raspadores de IA puderem simplesmente implementar o PoW com seriedade ou só remover “Mozilla” do User Agent, e isso já tornar essa proteção inútil, então talvez o próprio projeto desapareça em breve
Sobre a explicação de que “CAPTCHA apresenta um problema difícil para computadores e fácil para humanos”, fico me perguntando se alguém aqui já tentou resolver de fato CAPTCHA do tipo “selecione os quadrados que contêm um rabino ortodoxo”
O episódio do CAPTCHA do RapidShare em 2008 foi engraçado
Link relacionado 1
Link relacionado 2
Link relacionado 3
Resposta em tom de piada: esse tipo de CAPTCHA nem daria para resolver aos sábados
Hoje em dia também há muitos serviços baratos que resolvem CAPTCHA por você
Tráfego em grande escala de empresas de IA talvez até consiga desconto adicional, e extensões de navegador como o NopeCHA também acertam em cerca de 99%, reduzindo o desgaste de resolver isso manualmente
No fim, usar CAPTCHA difícil só torna a vida dos clientes reais pior
Claro, isso partindo da hipótese de que você mesmo não consiga resolver CAPTCHA com IA. Hoje em dia, com IA, isso também já é perfeitamente possível
No fim, computadores acabam ficando bons em tudo
Os CAPTCHAs do começo dos anos 2000 eram realmente difíceis para computadores
Acho que também daria para armazenar o identificador dos tokens JWT emitidos enquanto o Anubis está em execução, acompanhar a quantidade e a velocidade de requisições geradas por cada token e, ao ultrapassar certo limite, cancelar o token ou aplicar resposta atrasada ou limitação
Mesmo que o bot resolva o desafio, se ele mantiver o token e começar a fazer requisições rápido demais, logo sofreria restrições
Também se pode pensar em limitar a emissão de vários tokens para um mesmo IP
Às vezes, quando vejo uma tela como a do Anubis, fico preocupado se não fui redirecionado para algum redirect malicioso ou para algum imageboard esquisito
Também acho curioso que o kernel.org use a versão gratuita com anime, em vez de uma versão paga sem animação
Dá até vontade de brincar que a Linux Foundation vive andando de BMW e, no fim, está sem dinheiro mesmo
Hoje em dia anime está muito mais popular e a Netflix chega a faturar bilhões por ano com isso, então acho curioso que algumas pessoas ainda pensem outras coisas só de ver uma ilustração de anime inocente como essa
Na verdade, o Anubis não é um projeto original, mas um clone do Kiwiflare, então a impressão não está totalmente errada
Link sobre o Kiwiflare
Fico em dúvida se realmente há necessidade de uma versão sem marca
Em software open source, distribuição costuma ser mais fácil sem precisar de licença separada ou página extra de download
Se for um projeto do qual você depende, bastaria fazer uma doação, e a menos que haja necessidade real de remover a marca, a marca original pode até transmitir confiança
Por exemplo, se aparece o mascote do Anubis, eu talvez confie mais no JavaScript e o ative; mas sem marca, pode parecer código de alguma empresa suspeita de CAPTCHA
O LKML nunca ligou muito para design, então na prática isso talvez não faça muita diferença
Métodos de autenticação humana como contar respostas de perguntas que só humanos costumam resolver facilmente também são surpreendentemente eficazes contra filtros baseados em LLM
Por exemplo, há fóruns que, no cadastro, pedem para contar quantas letras há numa palavra-chave específica ou perguntam o diâmetro de uma peça de automóvel, e isso funcionou muito bem na prática
Em fóruns pequenos, só de ajustar bem a estratégia personalizada do processo de cadastro, as inscrições de spam caem bastante
Em um fórum que eu usava e sofria muito com cadastros de spam, troquei o processo para pedir que a pessoa somasse 1 a um número de 6 dígitos, e o efeito foi dramático
É um método comprovado
Antigamente, num fórum de jogos chamado moparscape, perguntavam “o que é mopar?”, e eu acabava tendo que pesquisar toda vez
Mas também é preciso lembrar que algumas dessas perguntas podem ser difíceis para parte dos usuários comuns