¿Por qué las chicas gato de anime bloquean mi acceso al kernel de Linux?
(lock.cmpxchg8b.com)- No se puede acceder al sitio lock.cmpxchg8b.com
- Se produce una falta de acceso debido a la latencia en la respuesta del servidor
- Incluye indicaciones para revisar la conexión de red y el estado del router o módem
- También recomienda verificar la configuración del proxy
- Es un simple problema de conexión, sin una explicación directamente relacionada con el acceso al kernel de Linux
Aviso de acceso no disponible al sitio
- El sitio lock.cmpxchg8b.com no responde
- Se informa de un problema de tiempo de espera en la conexión (timeout)
- Se recomienda reiniciar los equipos de red (router, módem, etc.)
- Se solicita volver a verificar la configuración que permite el acceso a la red
- También se incluye la recomendación de cambiar la configuración del proxy en el navegador Chromium y usar una conexión directa
- No hay una explicación técnica directa de que el acceso al kernel en sí esté bloqueado ni de que esté relacionado con una imagen de personaje específica (chica gato de anime)
1 comentarios
Comentarios de Hacker News
Como este suele ser un lugar donde se reúne gente bastante conocedora de tecnología, me pregunto si muchas personas realmente no entienden cómo funciona o cuál es el propósito de una protección como Anubis, o si solo fingen no entenderlo y hacen como que lo minimizan
Es obvio que los desarrolladores de bots scraper de IA tarde o temprano encontrarán la forma de resolverlo, pero lo importante es que al menos funcionó durante un tiempo
Cuando los desarrolladores de bots saquen nuevos métodos para evadirlo, aparecerán nuevas herramientas para “demostrar que no eres un bot”
Al final es simple: si aplicando un método nuevo el sitio queda seguro aunque sea uno o dos meses, eso ya es un resultado bastante satisfactorio
Es mucho mejor que tener que pensar si hay que bloquear redes enteras mientras soportas decenas de solicitudes por segundo
Por ejemplo, si pones en un formulario una pregunta como “¿cuánto es 7+2?”, claro que un recolector puede calcular la respuesta, pero al final sigue haciendo falta que una persona le indique al scraper “qué tiene que hacer”
Ojalá se pudiera ver con números qué efecto real tuvo el PoW (Proof-of-Work) de Anubis en los sitios
Como mi sitio es pequeño y está montado en un servidor personal, no reviso mucho los logs ni las estadísticas, pero algún día también podría sufrir crawling agresivo
En el material público que hay ahora solo se puede ver el rendimiento del PoW en sí, no qué tan efectivo fue realmente en sitios reales
Idealmente, sería genial tener estadísticas por tipo de bot, como “el bot de OpenAI era el 17% de todas las solicitudes y pasó de 900 mil al día a 0”
Si buscas, aparecen montones de posts de blog diciendo “Anubis bloqueó el crawling”, pero faltan datos reales
Además, en el hilo de abajo encontré un PDF con datos como estos, pero no hay análisis sobre cuántos clientes reales terminaron bloqueados
Me gustaría ver datos más variados
Aunque hoy en día es común ver la pantalla intermedia de carga de Cloudflare en muchos sitios, la gente se queja de que no se usan mucho protecciones como Anubis
Eso me parece un poco irónico
Desde que apareció Anubis por primera vez pensé que era ineficiente
Primero, los scrapers ya ejecutaban navegadores completos y esperaban a que la página se estabilizara, así que no es difícil evadir este método
Segundo, para que una IA lea una página se necesitan unos 5 segundos de cómputo de hasta 1600W, y mi teléfono no va a ser tan eficiente como hardware de servidor, así que podría tardar más de 5 segundos
Si todo esto se hace al mismo tiempo, el dispositivo se calienta y la estructura se vuelve igual de ineficiente
Creo que el PoW en sí no es lo que detiene a los scrapers de IA, sino el procedimiento de acceso raro al sitio que creó Anubis
Si eso es cierto, entonces Anubis podría ser suficiente incluso sin la función de PoW, para evitar que visitantes humanos legítimos tengan que ver una pantalla de carga durante varios segundos y desperdiciar su dispositivo
Una verificación simple como 7+2 solo limita a los usuarios que quieren enviar algo, pero Anubis afecta a todos los usuarios aunque solo entren a leer el sitio
Creo que el objetivo principal de Anubis es controlar el lavado de identidad de los crawlers (ataques Sybil) o el crawling en paralelo
El patrón de acceso sería así:
El punto es evitar que el servidor se sobrecargue por accesos simultáneos excesivos
Aunque un crawler mande muchas solicitudes en paralelo, cada una acumula costo adicional y restricciones, así que ya no pasa como antes, cuando miles de solicitudes de bots por segundo tiraban el servidor
Ese es el efecto real de Anubis
Basta con tener un script que pase Anubis y resuelva el challenge para evadirlo
Antes me parecía que este tipo de enfoque procedimental no solo era molesto, sino que además no ayudaba de verdad a autenticar personas reales
Este tipo de desafíos se puede automatizar de forma fácil y barata
Yo de hecho hice y usé una extensión de navegador que quita
"Mozilla"del User Agent en sitios con AnubisComo la mayoría no usa JS ni cookies, ni siquiera puede resolver el challenge, y en algunos self-hosted GitLab que sí permiten JS y cookies no quiero que los recursos de mi computadora se usen para minar
Hay que tener cuidado al modificar el header de User Agent, porque casi de inmediato te crea un identificador propio
El browser fingerprinting funciona especialmente bien con usuarios que tienen valores raros en los headers
Si usas Safari sin tocar nada, compartes el mismo valor con millones de usuarios, pero en cuanto cambias el User Agent te conviertes en un identificador único
Si el sitio es lo bastante “sticky”, hasta podría ponerse a minar criptomonedas como Monero en segundo plano
Estaría bien que el navegador mostrara una advertencia tipo: “Este sitio está usando excesivamente su computadora en segundo plano. ¿Desea detenerlo?”
Me pregunto si cambiar el valor del User Agent no rompería otras funciones
La mayoría de los strings de User Agent de los navegadores ya están llenos de “mentiras” estandarizadas, así que da miedo tocarlos
Me pareció interesante la extensión que hiciste
Me pone a pensar si se podría forzar la codificación de texto de una página a japonés
Si los bots de IA también pueden cambiar el User Agent igual, entonces ¿no termina dando exactamente el mismo resultado?
Sobre la discusión de si el personaje de Anubis no es un gato, el propio nombre Anubis viene del dios egipcio que normalmente se representa como un chacal o un perro
Como su nombre indica, es el guardián de la puerta del más allá
Técnicamente, sería más correcto decir “chica perro” o “chica chacal”
Bromea con que eso le quitó un peso de encima
Pero lamenta que falten los rasgos visuales originales de Anubis
Creo que los proveedores de servicios de IA en realidad tienen recursos de cómputo en centros de datos, así que un método PoW termina restringiendo más bien a los usuarios individuales con menos recursos
Pero en la práctica parece que Anubis se acepta como la menos mala de las malas opciones
Si la teoría y la realidad no coinciden, puede que me esté perdiendo algo o que la teoría esté equivocada
Apenas vi la pantalla de Anubis la reconocí al instante, y espero que la chica gato animada de este proyecto no desaparezca
En estos tiempos en que internet se ha vuelto demasiado corporativo y frío, se siente bien que todavía existan elementos lindos como este
Como Anubis viene originalmente del dios egipcio con cabeza de perro, al ver la ilustración pensé en “chica perro”
Este no es el único proyecto cuya mascota es un personaje de anime
ComfyUI también usa oficialmente una chica zorro como mascota, y eso es prácticamente el estándar de facto para las interfaces de generación basadas en Stable Diffusion
Si los scrapers de IA pueden implementar PoW en serio o hacer que esta protección deje de servir solo con quitar
Mozilladel User Agent, entonces puede que el proyecto mismo desaparezca prontoSobre la explicación de que “un CAPTCHA presenta un problema difícil para las computadoras y fácil para las personas”, me pregunto si alguien ha intentado resolver de verdad un CAPTCHA como “seleccione la casilla donde aparece un rabino ortodoxo”
Fue divertida la historia que pasó con el CAPTCHA de RapidShare en 2008
Enlace relacionado 1
Enlace relacionado 2
Enlace relacionado 3
Respuesta en tono de broma: ese tipo de CAPTCHA ni siquiera se puede resolver en sábado
Hoy en día también hay muchos servicios baratos que resuelven CAPTCHA por ti
A las empresas de IA con tráfico masivo incluso podrían darles descuentos adicionales, y extensiones de navegador como NopeCHA tienen cerca de 99% de éxito, así que reducen la molestia de resolverlos a mano
Al final, usar CAPTCHA difíciles solo termina complicándoles la vida a los clientes reales
Claro, eso asumiendo que no puedas resolver el CAPTCHA tú mismo con IA. Hoy en día también se puede perfectamente con IA
Al final las computadoras terminan haciéndolo todo bien
Los CAPTCHA de principios de los 2000 sí eran realmente difíciles para las computadoras
Creo que también se podría aplicar un método como guardar el identificador del token JWT que emite Anubis mientras corre, rastrear cuántas solicitudes genera cada token o a qué velocidad, y si supera cierto umbral, revocar el token o responder con demoras o restricciones
Aunque un bot resuelva el challenge, si conserva el token y empieza a pedir demasiado rápido, enseguida se le pueden imponer límites
También se podría pensar en limitar que una IP emita múltiples tokens
A veces, cuando veo una pantalla como la de Anubis, me preocupa que me esté redirigiendo a algo malicioso o a un imageboard raro
También me parece extraño que kernel.org use la versión gratuita animada en vez de una versión de pago sin anime
Da hasta para bromear con si la Linux Foundation, que tanto presumía de andar en BMW, de verdad no tiene dinero
Como el anime es hoy mucho más popular y hasta Netflix gana miles de millones al año con eso, me resulta curioso que algunas personas sigan pensando mal apenas ven una ilustración anime completamente inocente
En realidad Anubis no es un proyecto original, sino un clon de Kiwiflare, así que la impresión tampoco está del todo equivocada
Enlace sobre Kiwiflare
Me pregunto si de verdad hace falta una versión sin marca
El software open source normalmente es más fácil de distribuir justamente porque no requiere una licencia aparte ni una página de descarga
Si es un proyecto del que dependes, bastaría con donar, y a menos que realmente quieras quitarle la marca, la marca original hasta puede dar confianza
Por ejemplo, si aparece la mascota de Anubis uno podría confiar más y activar JavaScript, pero si no hay marca podría parecer código de una empresa extraña de CAPTCHA
LKML nunca se ha preocupado por el diseño, así que en realidad da un poco igual
Los métodos de verificación humana, como contar preguntas que solo una persona puede responder fácilmente, también son inesperadamente efectivos contra filtros de LLM
Como ejemplo, hay foros que al registrarte te piden contar cuántas letras tiene una palabra clave concreta o preguntan el diámetro de una pieza de automóvil, y en la práctica han funcionado bien
En foros pequeños, solo con personalizar bien la estrategia del proceso de registro ya bajan muchísimo las altas de spam
Yo antes cambié en un foro con mucho registro spam la instrucción para que sumaran 1 a un número de 6 dígitos y lo ingresaran, y el efecto fue dramático
Es un método probado
Antes, en un foro de juegos llamado moparscape, te preguntaban “qué es mopar”, así que yo terminaba buscándolo cada vez
Pero también hay que recordar que incluso algunas personas normales pueden tener dificultades para resolver ese tipo de preguntas