ChatGPTはCloudflareがReactの状態を読み取るまで入力をブロックする

• ChatGPTでメッセージ送信時に Cloudflare Turnstileプログラム が実行され、ブラウザーフィンガープリントだけでなく Reactアプリケーションの状態 まで検査する
• 復号されたプログラムは 55個の属性 を収集し、ブラウザー・ネットワーク・アプリケーションの3層に分かれた検証手順を実行する
• Reactレンダリングが完了した実際のSPA環境でのみ通過可能で、ヘッドレスブラウザーや単純なボットのリクエストは失敗する
• 収集されたフィンガープリントは暗号化されて OpenAI-Sentinel-Turnstile-Token に変換され、ここに Signal Orchestrator と Proof of Work モジュールが追加で動作する
• 復号キーを知っているのはCloudflareサーバーだけであり、プライバシー境界が技術ではなくポリシーによって決まる構造である

ChatGPTのメッセージ送信時におけるCloudflare Turnstileの動作構造分析

• ChatGPTのすべてのメッセージ送信時に ブラウザー内で Cloudflare Turnstileプログラム が自動実行される
  • ネットワークトラフィックから377個のTurnstileプログラムを復号した結果、一般的なブラウザーフィンガープリント収集を超えて Reactアプリケーションの状態まで検査 していた
  • 単純なブラウザーフィンガープリント偽装ボットは通過できず、ChatGPTのSPA（単一ページアプリケーション） を完全にレンダリングして初めて検証を通過できる

暗号化構造と復号過程

• Turnstileバイトコードはサーバー応答の turnstile.dx フィールドで渡され、リクエストごとに28,000文字長のbase64文字列 として暗号化されている
  • 外側の暗号化層は p トークンとの XOR 演算で復号可能で、両者は同一のHTTPリクエスト内でやり取りされる
  • 復号結果は 89個のVM命令 で構成されたJSON形式のバイトコードである
• 内部には 19KBサイズの追加暗号化ブロブ(blob) が存在し、このブロブは別の XOR キーで暗号化されている
  • キーはバイトコード内の floatリテラル値（例: 97.35） として含まれており、サーバーが生成してブラウザーへ送信する
  • 50回のリクエストすべてで、同じ方式により有効なJSONへの復号を確認した
• 全体の復号手順は次の5段階で構成される
  1. リクエストから p トークンを読む
  2. 応答の turnstile.dx を読む
  3. XOR(base64decode(dx), p) → 外側のバイトコードを生成
  4. 19KBブロブの後ろにある5引数命令から最後の引数をキーとして抽出
  5. XOR(base64decode(blob), str(key)) → 内部プログラムを復号（417〜580命令）

復号されたプログラムの検査項目

• 内部プログラムは 28個の命令語(opcode) を持つカスタムVMとして実行され、リクエストごとに浮動小数点レジスタのアドレスがランダムに変更される
• 合計 55個の属性(property) を収集し、377個のサンプルすべてに同一の項目が含まれていた

• Layer 1: ブラウザーフィンガープリント

  • WebGL関連8属性: UNMASKED_VENDOR_WEBGL, UNMASKED_RENDERER_WEBGL, WEBGL_debug_renderer_info など
  • 画面情報8項目: colorDepth, pixelDepth, width, height, availWidth, availHeight, availLeft, availTop
  • ハードウェア5項目: hardwareConcurrency, deviceMemory, maxTouchPoints, platform, vendor
  • フォント測定4項目: 非表示のdivを作成後、fontFamily, fontSize, getBoundingClientRect, innerText でレンダリングサイズを測定
  • DOM探索8項目: createElement, appendChild, removeChild, style, position, visibility, ariaHidden など
  • ストレージ5項目: storage, quota, estimate, setItem, usage
    • 結果を localStorage のキー 6f376b6560133c2c に保存し、ページ再読み込みをまたいで保持する

• Layer 2: Cloudflareネットワーク

  • エッジヘッダー5項目: cfIpCity, cfIpLatitude, cfIpLongitude, cfConnectingIp, userRegion
  • これらの値はCloudflareネットワーク経由でのみ存在し、オリジンサーバーへ直接アクセスするボット では欠落または不一致が発生する

• Layer 3: アプリケーション状態

  • React内部構造3項目: __reactRouterContext, loaderData, clientBootstrap
  • これらはChatGPTのReactアプリケーションが完全にレンダリングされ、SSRハイドレーションが完了した場合にのみ存在 する
  • HTMLだけを読み込む、JSバンドルを実行しないヘッドレスブラウザー、あるいはReactを実際には実行しないボットフレームワークは失敗する

トークン生成過程

• 55個の属性を収集した後、プログラムは 116バイトの暗号化ブロブ を復号して4つの最終命令を実行する
  • JSON.stringify(fingerprint) → store → XOR(json, key) → RESOLVE
  • 結果値は OpenAI-Sentinel-Turnstile-Token ヘッダーに変換され、すべての会話リクエストに含まれる

Sentinelの追加構成要素

• Turnstile のほかに2つの追加検証モジュールが存在する

• Signal Orchestrator

  • 271命令で構成
  • keydown, pointermove, click, scroll, paste, wheel イベントリスナーを設置
  • window.__oai_so_* 属性36個を追跡し、キー入力タイミング、マウス速度、スクロールパターン、アイドル時間、貼り付けイベント などを監視する
  • フィンガープリント収集に加え、行動ベースの生体認証レイヤー として機能する

• Proof of Work

  • 25フィールドのフィンガープリント + SHA-256 hashcash ベース
  • 難易度は400K〜500K範囲の一様乱数で、72%が5ms以下で解決された
  • ai, createPRNG, cache, solana, dump, InstallTrigger, data など7つのバイナリ検出フラグを含む（100サンプルすべて0）
  • 計算コストは追加するが、主要な防御手段ではない

トークンを復号可能な主体とセキュリティ上の意味

• 内部プログラムの XOR キーはサーバーが生成してバイトコードに含めるため、turnstile.dx を生成したサーバーだけがキーを知っている
• ユーザーとシステム運営者の間のプライバシー境界は、暗号学的制約ではなくポリシー上の判断 によって定義される
• 難読化の目的は
  • フィンガープリント収集項目を静的解析から隠す
  • Webサイト運営者（OpenAI）が生のフィンガープリント値を直接読めないようにする
  • 各トークンを固有化して 再利用(replay) を防ぐ
  • Cloudflareが検査項目を変更しても外部から認識しにくくする
• しかし暗号化は 同一データストリーム内のキーと XOR 演算 によって行われており、解析防止レベルの難読化 にすぎない

収集および分析統計

分析手法

• 適法な手続きで収集されたトラフィック のみを使用
• 個人ユーザーデータは公開されていない
• すべてのトラフィックは 参加者の同意のもとで観測 された
• Sentinel SDK（sdk.js, 1,411行）に対して 手動のデオブスケーションおよびオフライン復号 を実施
• 復号はPythonを用いてオフライン環境で進められた