1 ポイント 投稿者 GN⁺ 2025-08-21 | 1件のコメント | WhatsAppで共有
  • lock.cmpxchg8b.com サイトにアクセスできない
  • サーバー応答の遅延によりアクセス不能な現象が発生
  • ネットワーク接続、ルーターまたはモデムの状態確認案内を含む
  • プロキシ設定の確認を推奨している
  • 単純な接続問題であり、Linuxカーネルへのアクセスとの直接的な関連説明はない

サイトアクセス不可のお知らせ

  • lock.cmpxchg8b.com サイトが応答していない
  • 接続遅延(Timeout)の問題発生案内を提供
  • ネットワーク機器(ルーター、モデムなど)の再起動を推奨
  • ネットワークアクセス許可設定の再確認を要請
  • Chromium ブラウザー内のプロキシ設定変更および直接接続を推奨する内容を含む
  • カーネルアクセス自体が遮断されている、または特定のキャラクター画像(アニメ風の猫耳少女)との直接的な技術説明はない

1件のコメント

 
GN⁺ 2025-08-21
Hacker Newsのコメント
  • ここは概して技術に明るい人たちが集まる場なので、多くの人が本気で Anubis のような防御策の仕組みや趣旨を理解できていないのか、それともわざと分からないふりをして軽視しているふりをしているのか、疑問に思う
    AIスクレイパーボットの開発者ならいずれ方法を見つけるのは当然だが、まずはしばらくの間でも効果があったことが重要だ
    ボット開発者が新しい回避策を出してくれば、また新しい「ボットではないことの証明」ツールが登場するだろう
    結局のところこれは単純で、新しい方法を適用して1〜2か月でもサイトを守れたなら、それだけで十分に満足できる成果だ
    ネットワーク全体を遮断すべきか悩みながら毎秒数十件のリクエストをさばくより、はるかにましだ
    たとえばフォームに「7+2はいくつですか?」のような質問を入れれば、もちろん収集器は答えを計算できるが、それをスクレイパーに「どうやって処理するか」を教えるのは結局人間の役目になる

    • Anubis の PoW(Proof-of-Work)が実際にサイトにどんな効果をもたらしたのか、数字で確認できればと思う
      個人サーバーで運営している小さなWebサイトなので、ログや統計をあまり細かく見ていないが、いつか自分のサイトも攻撃的なクローリングを受けるかもしれない
      現在公開されている資料で分かるのは PoW 自体の性能だけで、実際にサイト上でどれだけ効果があったのかは分からない
      理想的には「OpenAIのボットが全リクエストの17%だったが、1日90万件から0件に減った」のように、ボット種類別の統計があると本当にありがたい
      検索しても「Anubis がクローリングを防いでくれた」というブログ記事ばかり出てきて、実データは乏しい
      さらに下のスレッドで このPDFデータ も見つけたが、実際の顧客が何人ブロックされたかについての分析はない
      もっと多様なデータがあればと思う

    • 最近はサイトごとに Cloudflare の中間ローディング画面を見ることが珍しくないのに、人々は Anubis のような防御策があまり使われていないと不満を漏らす
      この現象はやや皮肉に感じられる

    • Anubis が最初に出たときから非効率的だと思っていた
      第一に、スクレイパーはすでにフルブラウザを動かしてページが完全に安定するまで待つ作業をしていたので、この方式を回避するのは難しくない
      第二に、AIがページを読むには約5秒間で1600Wにも達する計算が必要で、自分のスマホがサーバー級の性能と同じ効率であるはずもないから、5秒より長くかかるかもしれない
      これをすべて同時に処理すれば、端末も熱くなるし、そのぶん非効率な構造だ

    • 私の考えでは、PoW 自体が AI スクレイパーを止めているのではなく、Anubis が作った特異なサイトアクセス手順によって止まっているのだと思う
      もしこれが事実なら、正当な人間の訪問者に数秒間のローディング画面で端末資源を無駄遣いさせないためにも、Anubis は PoW 機能を抜きにしても十分かもしれない

    • 7+2 のような簡単なチェックは何かを送信しようとする利用者だけを制限するが、Anubis はサイトで単に読むだけでもすべての利用者に影響する

  • Anubis の主な目的は、クローラーの身元洗浄(Sybil攻撃)や並列クロールを制御することだと思う
    アクセスの種類は次の通りだ:

    • JS と Cookie があるクライアント → サーバーは Cookie を使ってレート制限を適用できる。人間はあまり引っかからないが、クローラーは速度が大きく落ちるか接続を遮断される。もちろん身元(Cookie)は変えられるが、そのぶんパズルを解くコストがかかる
    • JS だけあるステートレスクライアント → やはりアクセスごとのコストが大きく、効果がある
    • (JS なし → アクセス自体不可)
      要点は、過度な同時アクセスでサーバーが過負荷になるのを防ぐことにある
      クローラーが複数の並列リクエストを送っても、各リクエストごとに追加コストと制限が生じるため、以前のように毎秒数千件のボットトラフィックでサーバーが壊れることはなくなる
      これが Anubis の実質的な効果だ
    • JS は必須というわけではない
      Anubis を通してチャレンジを解くスクリプトさえあれば、十分に回避できる
  • 以前から、こうした手続き型のアプローチは煩わしいだけでなく、本当に人間認証に実質的な助けになるのか疑問があった
    こうしたチャレンジは簡単かつ安価に自動化できる
    実際、私は Anubis が動いているサイト向けに、User Agent から "Mozilla" を外すブラウザ拡張を作って使っている
    たいていは JS や Cookie を使わないのでチャレンジすら突破できないし、JS や Cookie を許可する一部の self-hosted GitLab などについても、自分のコンピューター資源が採掘に使われるのは望まない

    • User Agent ヘッダーをいじると、ほぼ即座に自分専用の識別子ができてしまうので注意が必要だ
      ブラウザフィンガープリンティングは、特異なヘッダー値を持つ利用者に特によく効く
      手を加えていない Safari だけを使っていれば数百万人が同じ値を共有するが、User Agent を変えた瞬間に一意の識別子になってしまう

    • サイトが「スティッキー」な場合、本当に Monero などの暗号資産をバックグラウンドで採掘することも可能なのではないかと思う
      「このサイトはあなたのコンピューターをバックグラウンドで過度に使用しています。停止しますか?」のような警告がブラウザにあればいいのにと思う

    • User Agent の値を変えると、かえって他の機能が壊れるのではないかという疑問がある
      ほとんどのブラウザの User Agent 文字列は、すでに標準値として「嘘」で満ちているので、変えるのが怖い

    • 自作の拡張機能に興味を持った
      ページのテキストエンコーディングを強制的に日本語に変えられるか考えてしまう

    • AI ボットも同じように User Agent を変えられるなら、結局同じ結果ではないかという疑問が湧く

  • Anubis のキャラクターが猫ではないかという議論については、Anubis という名前自体がエジプトの神で、普通はジャッカルか犬として描かれる
    名前から分かる通り、来世の門番だ
    技術的に言えば「犬少女」または「ジャッカル少女」のほうが正確だ

    • おかげで気が少し楽になったと冗談を言う

    • ただし、本来の Anubis の視覚的特徴が抜けている点は惜しい

  • AIサービス提供者は事実上データセンターに計算資源を持っているため、PoW 方式はむしろ資源の少ない個人利用者だけを制限するものになっていると思う
    しかし現実には、Anubis はそれでも使える次善の策として受け入れられているようだ
    理論と現実が違うなら、何か見落としているか、理論のほうが間違っているのかもしれない

  • Anubis の画面を見た瞬間にすぐ分かったし、このプロジェクトのアニメ猫少女が消えないでほしいと思っている

    • インターネットがあまりにも企業的で殺風景になった今、こういうかわいい要素がまだ残っているのは気分がいい

    • Anubis はもともと犬の頭をしたエジプト神から取られた名前なので、絵を見て「犬少女」だと思う

    • アニメキャラクターをマスコットにしているプロジェクトはこれだけではない
      ComfyUI も公式マスコットとして狐少女キャラクターを使っており、これは Stable Diffusion ベースの生成UIの事実上の標準だ

    • AIスクレイパーが PoW を真面目に実装したり、User Agent から ‘Mozilla’ を外すだけでこの防御策がすぐ無意味になるなら、プロジェクト自体がまもなく消えるかもしれないという見方だ

  • 「CAPTCHA はコンピューターには難しく、人間には簡単な問題を出す」という説明について、私が遭遇した「正統派ラビがいるマスを選べ」のような CAPTCHA を実際に解いたことがあるのか疑問に思う

    • 2008年の RapidShare CAPTCHA で起きた一件は面白かった
      関連リンク1
      関連リンク2
      関連リンク3

    • そのタイプの CAPTCHA は土曜日には解けないというユーモア交じりの返答

    • 今では CAPTCHA を安価に代行で解くサービスも多い
      AI企業の大規模トラフィックには追加割引があるかもしれないし、NopeCHA のようなブラウザ拡張も99%ほど成功して、手で解く疲労を減らしてくれる
      結局、難しい CAPTCHA を使っても実際の顧客だけを苦しめるだけだ
      もちろん、自分で AI を使って CAPTCHA を解けない場合を想定した話だ。今では AI でも十分可能だ

    • 結局、コンピューターは何でもうまくできるようになる
      2000年代初頭の CAPTCHA は本当にコンピューターには難しかった

  • Anubis が実行中の JWT トークンの識別子を保存し、各トークンから発生するリクエスト数や速度を追跡し、一定の閾値を超えたらトークンを取り消したり、遅延応答や制限をかけたりする方式も適用できると思う
    ボットがチャレンジを解けたとしても、トークンを維持したまま過度に速くリクエストした瞬間にすぐ制約がかかる
    特定の IP から複数のトークンを発行できないように制限する方法も考えられる

  • ときどき Anubis のような画面を見ると、悪意のあるリダイレクトや妙なイメージボード系サイトに飛ばされるのではないかと心配になる
    kernel.org が有料の非アニメ版ではなく無料版を使っているのも不思議だ
    Linux Foundation は BMW に乗っているくせに本当に金がないのか、という冗談も出る

    • アニメは今やさらに大衆的で、Netflix も年間数十億を稼ぐほどなのに、こういう純粋なアニメ絵を見るだけで一部の人が別の連想をしてしまう現象が不思議に思える

    • Anubis は実際には独創的なプロジェクトではなく Kiwiflare のクローンなので、まったく的外れな印象というわけでもない
      Kiwiflare 関連リンク

    • わざわざノーブランド版が必要なのか疑問だ
      オープンソースは普通、別個のライセンスやダウンロードページがなくても配布しやすい
      依存しているプロジェクトなら寄付するだけでもいい話で、わざわざデブランディングしないなら、むしろ元のブランドのほうが信頼につながるかもしれない
      たとえば Anubis のマスコットが出れば JavaScript をより信用して有効化できるが、ブランドがなければ怪しい CAPTCHA 業者のコードかもしれないと疑ってしまう
      LKML は昔も今もデザインを気にしないので、実際にはあまり関係ない

  • 人間だけが簡単に解ける質問を数えるなどの人間認証法は、LLM フィルターにも意外と効果がある
    例として、登録時に特定キーワードのつづりの文字数を数えさせたり、自動車部品の直径を尋ねたりするフォーラムがあり、実際に効果が高かった

    • 小さなフォーラムは、登録手順に合わせた戦略を少し工夫するだけでスパム登録が大きく減る
      昔、スパム登録の多いフォーラムで、6桁の数字に1を足して入力させるように変えたところ、効果は劇的だった

    • 実証済みの方法だ
      昔 moparscape というゲームフォーラムでは「mopar とは何か」と聞かれて、毎回検索していた

    • ただし、こうした質問でも一般利用者の一部には解きづらいことを思い出す必要がある