นักวิจัยจากมหาวิทยาลัยเจ้อเจียงเตือนถึงภัยคุกคาม AudioHijack ต่อ AI เสียงและวอลเล็ตคริปโต

นักวิจัยจากมหาวิทยาลัยเจ้อเจียงได้ค้นพบวิธีใหม่ที่น่าทึ่งในการยึดครองระบบเสียง AI: สัญญาณเสียงที่อ่านได้โดยเครื่องจักรแต่ไม่สามารถได้ยินโดยมนุษย์ ซึ่งเปลี่ยนแปลงพฤติกรรมของโมเดลโดยไม่ให้ผู้คนได้ยิน วิธีการนี้—ซึ่งตั้งชื่อว่า AudioHijack—สามารถเปลี่ยนแปลงโมเดลเสียง-ภาษาขนาดใหญ่ (LALMs) ด้วยอัตราความสำเร็จสูงถึง 96% ทีมงานรายงานในงานประชุม IEEE Symposium on Security and Privacy ครั้งที่ 47 ที่ซานฟรานซิสโก สิ่งที่การโจมตีนี้ทำ - AudioHijack ฝังคำสั่งที่ซ่อนอยู่ลงในคลื่นรูปแบบเสียงดิจิทัลโดยการปรับค่าตัวเลขในลักษณะที่มนุษย์ไม่สามารถได้ยิน แต่ LALMs ตีความว่าเป็นคำสั่ง - สัญญาณเชิงรุกนี้ไม่ขึ้นกับบริบท: หลังจากฝึกประมาณครึ่งชั่วโมง สัญญาณเดียวกันสามารถเล่นซ้ำพร้อมกับคำพูดที่ถูกต้องใดๆ ก็ตาม และยังคงควบคุมพฤติกรรมของโมเดลได้ ผู้เขียนนำ Meng Chen กล่าว - เนื่องจากมันแทรกแซงเสียงเอง ไม่ใช่ข้อความที่ถูกถอดรหัส มันจึงหลีกเลี่ยงการป้องกันหลายอย่างที่ออกแบบมาเพื่อตรวจจับคำสั่งข้อความที่เป็นอันตราย สิ่งที่นักวิจัยแสดงให้เห็น - ทีมงานทดสอบ AudioHijack กับโมเดลเสียง AI แบบเปิดแหล่งที่มา 13 ตัว และระบบเสียงเชิงพาณิชย์จาก Microsoft และ Mistral ที่ใช้สถาปัตยกรรมคล้ายกัน - เสียงที่ถูกปรับแต่งสามารถทำให้โมเดลปฏิเสธคำขอ แพร่กระจายข้อมูลเท็จ แทรกลิงก์อันตราย เปลี่ยนบุคลิกภาพ หรือดำเนินการที่ผู้ใช้ไม่ได้ขอ—ตัวอย่างเช่น การค้นหาเว็บ การดาวน์โหลดไฟล์ และส่งอีเมลที่รั่วไหลข้อมูลส่วนตัว - นักวิจัยระบุว่าการโจมตีนี้สามารถส่งผ่านช่องทางทั่วไป เช่น วิดีโอออนไลน์ ไฟล์เพลง บันทึกเสียง หรือเสียงที่บันทึกจากการโทรผ่าน Zoom และอัปโหลดไปยังบริการถอดเสียง AI งานต่อเนื่องที่ยังไม่ได้เผยแพร่รายงานว่ามีการโจมตีแบบเดียวกันในแชทเสียง AI แบบเรียลไทม์ เหตุใดจึงแตกต่างและยากต่อการหยุดยั้ง - การโจมตีแบบ “prompt injection” แบบดั้งเดิมเปลี่ยนสิ่งที่ผู้ใช้พูดหรือแทรกข้อความอันตราย AudioHijack เปลี่ยนสัญญาณเสียงอนาล็อก/ดิจิทัลแทน ทำให้การแทรกแซงมองไม่เห็นต่อตัวกรองข้อความและการป้องกันหลายอย่างที่มีอยู่ - การตรวจสอบกลไกความสนใจภายในโมเดลเป็นการป้องกันที่มีประสิทธิภาพมากที่สุดที่ทีมงานทดสอบ แต่ผู้โจมตีแบบปรับตัวสามารถลดความรุนแรงของการแทรกแซงเพื่อหลีกเลี่ยงมาตรการป้องกันนี้ ในขณะที่ยังคงรักษาพลังของการโจมตีไว้มาก “การป้องกันแบบจุดเดียวเหล่านี้ยากที่จะต้านทานการโจมตีของเรา เพราะเราพบว่าโมเดลเหล่านี้แยกแยะระหว่างเจตนาของผู้ใช้ปกติกับการโจมตีของผู้ร้ายได้ยากมาก” Chen กล่าว เหตุใดแพลตฟอร์มคริปโตควรใส่ใจ - เมื่อบริการคริปโตเริ่มทดลองใช้ฟีเจอร์ที่ขับเคลื่อนด้วยเสียง—เช่น การเข้าถึงวอลเล็ตผ่านเสียง ผู้ช่วยเทรด กระบวนการทำงานของฝ่ายสนับสนุนลูกค้า หรือการยืนยันตัวตนด้วยเสียง—AudioHijack ชี้ให้เห็นพื้นที่โจมตีใหม่ที่อาจถูกใช้เพื่อฟิชชิง การหลอกลวงทางสังคม หรือกระตุ้นการกระทำที่ไม่พึงประสงค์ในระบบเชื่อมโยง - แม้ว่าการศึกษานี้จะไม่ได้แสดงให้เห็นการขโมยคริปโตโดยตรง แต่บริการใดก็ตามที่รับคำสั่งพูดหรือรับข้อมูลเสียงอาจตกอยู่ในความเสี่ยงหากใช้อินเทอร์เฟซเสียงสำหรับการดำเนินการสำคัญ ช่องทางการส่ง เช่น วิดีโอ เพลง หรือบันทึกการโทร เป็นช่องทางที่ใช้บ่อยในการหลอกลวง ข้อสรุปเชิงปฏิบัติ - ผู้ผลิตและผู้ดำเนินการที่ใช้โมเดลเสียง AI ควรไม่พึ่งพาเพียงตัวกรองข้อความเพื่อจับการละเมิด; การป้องกันที่ตรวจสอบภายในโมเดลและการตรวจสอบหลายปัจจัยสำหรับการดำเนินการสำคัญเป็นทางเลือกที่แนะนำ - สำหรับบริษัทและผู้ใช้งานคริปโต อย่าพึ่งพาเสียงเพียงอย่างเดียวเป็นวิธีการยืนยันหรืออนุญาต; ขอการตรวจสอบเพิ่มเติมสำหรับการโอนและกิจกรรมสำคัญของบัญชี และระมัดระวังเกี่ยวกับเสียงจากแหล่งที่ไม่น่าเชื่อถือ - การวิจัยนี้เน้นความจำเป็นในการสร้างแบบจำลองภัยคุกคามอย่างกว้างขวางและการร่วมมือระหว่างทีม AI, การรักษาความปลอดภัย และคริปโตเมื่อมีการเปิดใช้งานฟีเจอร์ขับเคลื่อนด้วยเสียง การโจมตีและการทดลองทั้งหมดถูกนำเสนอโดยนักวิจัยจากมหาวิทยาลัยเจ้อเจียงในงานประชุม IEEE; การศึกษานี้ตั้งคำถามเร่งด่วนเกี่ยวกับวิธีการรักษาความปลอดภัยระบบ AI ที่ขับเคลื่อนด้วยเสียงก่อนที่จะกลายเป็นช่องทางสำหรับการละเมิดในระดับใหญ่