Попросили вашу умную колонку включить музыку, а она вместо этого вызвала такси? Похоже на атаку типа «подмена распознавания»!
Не секрет, что системы ИИ уязвимы. И один из вариантов их аудита — активное тестирование, которое подразумевает поиск уязвимостей.
Специалист отдела перспективных исследований ИТ-компании «Криптонит» Алексей Протопопов провёл эксперимент: он написал свой алгоритм, который мог бы сгенерировать атаку на систему распознавания речи.
В случае успешной атаки нарушается транскрибирование фраз и выполняются совершенно другие команды. Например, говорите: «Колонка, включи музыку», а она вместо этого набирает номер. Триггером атаки может послужить и какая-то мелодия, которая будет распознаваться как команда.
Это разновидность атаки типа «подмена распознавания», но существуют и другие. Например, атака подмены личности. Они могут быть направлены на то, чтобы система ИИ (та же «Алиса» или Siri) распознавала атакующего как владельца.
Эффективные атаки выполняются «по воздуху», то есть — не требуют подключения к атакуемой системе. Достаточно, чтобы она услышала звук. Суть атаки в том, чтобы передать ей такой набор звуков, который исказил бы транскрипцию.
На практике атака усложняется фоновыми шумами, эхом и тем простым фактом, что все микрофоны и динамики обладают разными характеристиками.
Алексей с коллегами симулировали свыше 700 разных конфигураций и создали итерационный алгоритм, который выполняет атаку на ИИ незаметно для человека, используя психоакустические особенности восприятия звука.
Этот доклад был на V встрече экспертного сообщества по криптографии и большим данным, которую организовал «Криптонит» при поддержке Музея криптографии. Дискуссия была посвящена теме аудита безопасности систем ИИ.