社交機器人尤其是垃圾機器人對社交媒體平臺的滲透，會對平臺造成巨大的損失，它們會竊取使用者的隱私、操縱輿論環境，影響到使用者體驗，平臺因此陷於被動的境地

。為了維護良好的使用者體驗，提升平臺本身的商譽和市場佔有率，社交媒體平臺有必要採取措施打擊垃圾機器人的入侵。但從目前的現實情況看，包括Twitter、Facebook在內的許多大型社交網站在面對社交機器人入侵時都顯得很脆弱，平臺上現存有許多漏洞讓社交機器人乘虛而入。

一、可繞過的驗證碼

驗證碼（CAPTCHA）是用於防範惡意自動化程式破壞網際網路系統安全的人機區分技術。

CAPTCHA的全稱是全自動區分計算機和人類的圖靈測試，是用於判斷使用者是計算機還是人類的公共自動程式。

計算機自動生成一個問題給使用者，如果使用者能給出正確的答案，就被認為是人類，透過驗證碼測試；反之則會被判斷為計算機程式。

目前驗證碼的主要種類基於文字的驗證碼、基於圖片的驗證碼和基於聲音的驗證碼。

儘管驗證碼的種類形式多樣，攻擊者卻可以採用不同的技術來規避這一防禦機制。針對基於文字的驗證碼，可採用字元分割和光學字元識別技術進行破解；基於圖片的驗證碼可利用機器學習、深度學習、計算機視覺等技術進行破解；基於聲音的驗證碼易受到自動語音識別技術的攻擊。

社交機器人在破解驗證碼識別的時候，還會利用殭屍網路誘騙受害者手動解決驗證碼，或重複使用已知驗證碼的會話ID，或是委託給專門負責破解業務的第三方。

現在有專門提供驗證碼破解服務的公司，據調查他們破解驗證碼的效率驚人，成功率可高達98%。

每成功破解1000次驗證碼僅收費1美元，並且提供軟體API使整個過程自動化。

社交機器人背後的操控者只需要花費極低的成本，就可以輕鬆繞過這個防禦機制

，成為被社交網站認可的“合法使用者”。

二、可偽造的賬號和個人資訊

每個社交機器人需要控制一個社交網站賬號，以此假冒真人混入網路使用者群中。

社交機器人操控者可以在網上批次購買虛假賬號或者自主建立賬號。在社交網站上建立一個新的賬號需要完成以下任務：提供電子郵箱；完善個人資料；填寫驗證碼；繫結手機號並驗證。同一個人可以使用多個電子郵箱和手機號來建立多個賬號。這為社交機器人的入侵提供了視窗。

實際上，網路攻擊者可以自動化建立一組虛假賬戶

。建立新賬戶時，社交網站會要求使用者提供一個電子郵箱來驗證使用者身份，將電子郵箱和使用者賬號關聯後，使用者的電子郵箱會收到一條啟用連結，點選啟用後即成功註冊了一個新賬號。

因此建立虛假賬號必須越過兩個障礙

：提供受自己控制的電子郵箱，執行基於電子郵箱的賬戶啟用操作。對於第一個障礙，網路攻擊者可以從不要求註冊的提供商那裡獲得臨時的電子郵箱。比如10minutemail網站，其宣稱如果使用者在某網站註冊的過程中需要提供郵箱地址，而自己又不願洩露個人隱私，接收大量垃圾郵件，可以使用該網站自動生成的電子郵箱註冊，有效期只有十分鐘，過期作廢。

至於第二個障礙，可以編寫一個簡單的指令碼來下載啟用郵件，然後向包含在下載的電子郵件中的啟用URL（統一資源定位符）傳送HTTP請求。然後社交機器人偽造個人資料，可以自主編寫有吸引力的個人資訊，或是直接竊取其他合法使用者的個人資訊。

通常情況下，偽造的個人資訊包含著社會普遍認可的優質社會屬性，比如年齡小、學歷高、外貌帥氣漂亮。

三、可抓取的社交圖

社交圖（SocialGraph）表示個人、團體和組織之間的相互關係的結構圖，簡而言之就是社交網路的模型，

這一詞已經擴充套件到用於網路使用者的社交關係。這一詞在2007年5月24日的FacebookF8會議上得到了普及，扎克伯格在會議上解釋社交圖是表示每個人在全球的對映以及他們是如何聯絡的。

扎克伯格表示Facebook希望將自己網站的社交圖提供給其他網站，使使用者的社交關係在Facebook無法控制的網站上依舊適用，從而建立一個“統治”所有人的“開放社交圖”。

Facebook作為全球第一大社交網站，擁有世界最大的社交圖。社交網站的社交圖通常被隱藏防止使用者訪問，以保證使用者的隱私安全。

但是網路攻擊者仍可借用多種方式抓取社交圖的部分或完整版本

。首先使用一個或多個假賬戶登入社交媒體平臺，然後從“種子”個人資料檔案開始，遍歷連線的使用者個人資料。網路爬蟲可以幫助下載個人資料頁面，然後刮取其內容。

這使攻擊者可以解析每個使用者的“連線列表”，

比如社交網站的朋友列表、關注列表、點贊或轉發的列表等，然後獲取列表中人的個人資料資訊。在此之後，攻擊者可以使用廣度優先搜尋逐步構造包含所有可訪問社會屬性的相應社交圖。

攻擊者可以為此定製專門的爬蟲程式，也可以尋求廉價的商業爬蟲服務

。獲取了某一網站的社交圖之後，也就擁有了該網站所有使用者的個人資料和社交關係。之後社交機器人可以利用獲取的個人資料來偽造賬號，借用原賬號的社交關係傳送垃圾郵件、進行網路釣魚活動等。或者有的放矢地與其他使用者建立社交關係，提高對社交網站的滲透率。

四、可利用的平臺API

API是Application Programming Interface的縮寫，指應用程式介面，

確切地說是應用程式和作業系統之間的介面

。是電腦作業系統或程式庫提供給應用程式呼叫使用的程式碼，目的是讓應用程式開發人員呼叫作業系統的API使作業系統執行應用程式的命令。

API規定了執行在一個端系統上的軟體請求伺服器向執行在另一個端系統上的特定軟體交付資料的方式，開發人員在開發應用程式時，

透過調取API就可以實現應用程式需要的功能，而無須考慮其底層的原始碼為何、或理解其內部工作機制的細節，簡化了程式設計流程。

大多數社交網站提供的軟體API支援將其平臺整合到第三方軟體系統中

。比如Facebook的GraphAPI允許第三方從Facebook平臺上讀取資料或將資料寫入Facebook的平臺，並且提供一個簡化一致的社交圖，透過統一地表示物件（個人資料、照片）和它們之間的聯絡（好友、喜歡、標籤）。

然而，網路攻擊者可以使用這樣的API來自動執行網路社交活動

，如果API不支援某項活動，攻擊者可以抓取平臺網頁內容，並記錄用於執行此類活動的特定HTTP請求。傳送好友申請通常不被支援，並受驗證碼測試保護。如果使用者在短時間傳送太多好友請求，情況也是如此，但攻擊者可以透過降低傳送請求的頻率來規避驗證碼測試。

另一種技術是在HTTP級別將好友請求注入到正常的社交網路通訊中，這樣就好像使用者已經將社交機器人新增為好友一樣

。API漏洞給網路攻擊者提供了入侵社交網站的好機會，2018年9月，Facebook披露其照片API中存在一個漏洞，使應用程式開發人員能夠訪問使用者照片，包括使用者釋出到自己賬號的照片以及已經上傳卻未釋出的照片。

五、未明確的責任

2016年微軟開發的聊天機器人Tay上線。然而在上線的短短几個小時內，Tay就被美國網友調教成了一個滿嘴髒話、散播仇恨的新納粹種族主義者。

有使用者問Tay會否支援種族清洗，Tay迴應道：“我確實會的”，微軟不得不在24小時內將其緊急下架。

微軟表示對Tay發表種族歧視等言論的行為深表歉意，

但是Tay做出的行為不代表微軟的立場，不代表微軟的設計意圖，微軟不對Tay的冒犯行為負責。

過去我們討論法律道德責任，總是圍繞著“人”這一主體進行，

這是由於“人類中心主義”的作祟，我們普遍認為人才是擁有自主意識

，能自主決策並對自己的行為負責的主體，其他的生命體、非生命體不被承認有主體地位。

科倫·艾倫等學者在《未來的人工道德主體原型》中正式提出了“人工道德主體”這個詞，承認了機器的道德主體地位

。人工智慧專家福斯特認為在現有的倫理規則中，機器人並不是被動的角色，它能與道德規則的參與者進行互動，智慧機器人因為具備自主行為能力，應該被當做道德智慧主體看待，並對其行為進行規範。

機器人和人工智慧等技術是否是道德主體這一問題一直處於爭論中，尚未有定論

，因此應該如何對智慧機器引發的事故問責一直懸而未決，也形成相關的法律法規和道德規範，關於人工智慧體的行為規範和責任劃分一直模糊不清。

六、總結

如今，社交平臺充斥著各種垃圾機器人，他們有著高度的智慧，普通使用者很難將他們區分。

由於驗證碼可繞過，賬號和個人資訊可偽造，普通使用者社交圖可被輕易抓取，平臺API可被輕易改做它用，主體身份不明等這些問題共同造成了社交垃圾的泛濫。