嚇人！Siri等語音助手能聽到你聽不到的隱藏指令

　　5月12日消息，據(jù)《紐約時報》報道，Alexa、Siri等語音助手能夠聽到你聽不出的隱蔽性指令。研究者們稱，他們能夠?qū)�發(fā)給語音助手的指令嵌入到音頻和口頭錄音，從而讓人類無法察覺。

　　許多人已經(jīng)習慣了與他們的智能設(shè)備交談，習慣了通過發(fā)出指令讓它們朗讀文本、播放歌曲或設(shè)置鬧鐘。但其他人可能也在偷偷地跟它們說話。

　　在過去的兩年里，中國和美國的研究人員已經(jīng)開始證明，他們可以給蘋果的Siri、亞馬遜的Alexa和谷歌的Google Assistant發(fā)出人耳無法察覺的隱蔽性命令。在大學實驗室里，研究人員已經(jīng)能夠秘密地激活智能手機和智能音箱上的人工智能系統(tǒng)，讓它們撥打電話號碼或者打開網(wǎng)站。要是落在不法分子的手里，這項技術(shù)可能會被用來打開別人的門、轉(zhuǎn)賬或者網(wǎng)上購物——只需通過收音機播放音樂即可實現(xiàn)。

　　2016年，來自加州大學伯克利分校和喬治城大學的一個學生團隊證明，他們可以通過隱藏于揚聲器和YouTube視頻傳出的白噪音的指令，來讓智能設(shè)備打開飛行模式或打開網(wǎng)站。

　　這個月，伯克利大學的一些研究人員發(fā)表了一篇更進一步的研究論文。他們稱，他們可以將指令直接嵌入到音樂或口語文本的錄音當中。因此，當人類聽眾聽到有人在說話或在聽樂隊演奏的時候，亞馬遜的Echo音箱可能會聽到在你的購物清單上添加某種商品的指令。

　　“我們想看看我們是否能夠讓指令變得更加隱秘。”加州大學伯克利分校計算機安全專業(yè)的博士生、論文的其中一位作者尼古拉斯·卡林尼(Nicholas Carlini)說道。

　　卡林尼補充說，雖然沒有證據(jù)表明這些技術(shù)已經(jīng)走出了實驗室，但人們開始利用這些技術(shù)可能只是時間問題。他指出，“我的假想是，作惡者已經(jīng)雇傭了人來做我的這項工作。”

　　這些欺騙行為說明，人工智能——盡管它正在取得巨大進步——仍然可能被用于欺詐和操縱。通過改變數(shù)字圖像中的幾個像素，計算機會將飛機誤以為小貓;研究人員也只需要在路標上粘貼小貼紙和混淆車輛的計算機視覺系統(tǒng)，就能讓自動駕駛汽車轉(zhuǎn)向或加速。

　　對于音頻攻擊，研究人員利用的是人類和機器語音識別能力的差距。語音識別系統(tǒng)通常將每個聲音翻譯成字母，最終將其編譯成單詞和短語。通過對音頻文件進行細微的改動，研究人員能夠消除語音識別系統(tǒng)本應(yīng)該聽到的聲音，并將其替換為一種讓機器編譯成不同內(nèi)容的聲音，而人類的耳朵幾乎無法察覺其中的區(qū)別。

　　廚房里的Echo智能音箱

　　聲控設(shè)備的不斷普及，放大了這種把戲的影響。根據(jù)市場研究公司Ovum的數(shù)據(jù)，到2021年，使用像亞馬遜Alexa或蘋果Siri這樣的數(shù)字助手的智能手機和智能音箱的數(shù)量將比人口還要多。另一家研究機構(gòu)Juniper Research的數(shù)據(jù)顯示，到那時，超過一半的美國家庭將至少有一臺智能音箱。

　　亞馬遜表示，它沒有披露具體的安全措施，但它已采取措施來確保其Echo智能音箱的安全性。谷歌說，安全性是一個持續(xù)的關(guān)注重點，它的Google Assistant具有規(guī)避無法察覺的音頻命令的功能。這兩家公司的智能助手均采用語音識別技術(shù)，來防止設(shè)備在沒有識別出用戶的聲音的情況下執(zhí)行某些指令。

　　蘋果公司表示，其智能音箱HomePod的設(shè)計能夠防止執(zhí)行諸如打開門鎖的指令。該公司還指出，iPhone和iPad必須先解鎖，否則Siri不會執(zhí)行訪問敏感數(shù)據(jù)或者打開應(yīng)用程序和網(wǎng)站的指令。

　　然而，許多人常常會讓他們的智能手機處在開鎖狀態(tài)，至少在目前，語音識別系統(tǒng)是出了名的容易被愚弄。

　　現(xiàn)在已經(jīng)有人利用智能設(shè)備的口頭指令來謀求商業(yè)利益。

　　去年，漢堡王(Burger King)在網(wǎng)上發(fā)布了一則廣告，引發(fā)轟動。該廣告有意問道，“O.K., Google，華堡是什么呢?”支持語音搜索的Android設(shè)備會通過朗讀華堡的維基百科頁面來進行回應(yīng)。在觀眾開始惡搞該產(chǎn)品的維基百科頁面以后，該廣告被撤掉。

　　幾個月后，美國熱播動畫片《南方公園》(South Park)播出了一整集圍繞語音指令的節(jié)目，讓語音識別助手們模仿青少年說臟話。

　　沒有美國法律禁止向人類傳播潛意識信息，更不用說機器了。美國聯(lián)邦通信委員會(FCC)不鼓勵這種做法，認為其“違背公眾利益”。 全美廣播事業(yè)者聯(lián)盟則禁止“傳播正常意識范圍以外的信息”。這兩個機構(gòu)都沒有談到圍繞智能設(shè)備的潛意識刺激。

　　法院裁定潛意識信息可能構(gòu)成對隱私的侵犯，但法律并未將隱私概念延伸至機器。

　　現(xiàn)在，該技術(shù)在法律面前更加超前了。去年，普林斯頓大學和中國浙江大學的研究人員證明，聲音識別系統(tǒng)可以通過使用人耳聽不到的頻率來激活。這種攻擊先是將手機調(diào)成靜音模式，這樣機主就不會聽到系統(tǒng)的回應(yīng)。

　　這項技術(shù)被中國的研究人員稱作“海豚攻擊”，能夠指示智能設(shè)備訪問惡意網(wǎng)站、打電話、拍照或者發(fā)送短信。雖然海豚攻擊有它的局限性——發(fā)射機必須要靠近接收設(shè)備——但專家們警告說，打造出更強大的超聲波系統(tǒng)是有可能的。

　　這一警告在今年4月得到印證，當時伊利諾伊大學厄巴納-香檳分校的研究人員展示了在25英尺開外的超聲波攻擊。雖然指令不能穿透墻壁，但它們可以通過從建筑物外部打開的窗戶來控制智能設(shè)備。

　　今年，來自中國科學院和其他機構(gòu)的另一個中美研究團隊證明，他們可以通過隱蔽性的指令來控制聲控設(shè)備，那些指令嵌入在能夠通過收音機播放或者在YouTube等服務(wù)上播放的歌曲當中。

　　最近，卡林尼和他在伯克利大學的同事們將指令編入了可為Mozilla的DeepSpeech語音-文本翻譯軟件識別的音頻。DeepSpeech是一個開源平臺。他們能夠?qū)?ldquo;O.K. Google，瀏覽evil.com吧”指令隱藏在口語錄音“沒有數(shù)據(jù)集的話，該文章毫無用處”。人類無法辨別出該條指令。

　　伯克利大學的研究團隊也將該指令嵌入到音頻文件當中，其中包括來自威爾第的《安魂曲》的四秒片段。

　　設(shè)備制造商們的響應(yīng)方式會各有不同，尤其是考慮到它們要權(quán)衡安全性與易用性問題。

　　?“企業(yè)必須要確保其設(shè)備的用戶友好性，因為這是他們的主要賣點。”喬治城大學的研究員塔維什·維迪雅(Tavish Vaidya)說道。他的其中一篇有關(guān)音頻攻擊的論文以“Cocaine Noodles”(可卡因面條)為標題，因為設(shè)備將“可卡因面條”解讀為“O.K., Google”。

　　卡林尼說，他相信，他和他的同事們最終將能夠?qū)κ忻嫔系娜魏我豢钪悄茉O(shè)備系統(tǒng)發(fā)動成功的對抗性攻擊。

　　“我們想要證明這是有可能的，”他說，“然后希望其他人會說，‘好吧。這是可能的，現(xiàn)在讓我們試著去修復它。’”