科学家称：亚马逊Alexa和谷歌Now之类的仿人工智能，可被黑客利用虚假语音指令轻易入侵。

有则难以置信的新闻，讲的是多台亚马逊Echo设备因为听到电视机里新闻节目主持人说的一句“Alexa给我订了个玩偶屋”，而从电商那里订购了昂贵的玩偶屋。Echo设备太听话了，连房间里电视的声音都没放过。

研究人员称，这种场景还真有可能发生。而且，攻击者不仅能向声波可及范围内的任意AI监听设备发送恶意音频指令，还能用隐藏音频指令干这事儿，就是那些可能连用户都没注意到的指令。

加州大学伯克利分校的两名研究人员就此发表了一篇新论文，以及其他一些学术文章。虽然没有指名道姓地说是亚马逊的Alexa，但他们确实宣称测试攻击针对谷歌Now的语音识别系统有效，且他们的语音指令可能适用于任一现代语音识别系统，包括智能手机。

论文中写道：“掌握大量语音识别系统知识的攻击者，可以构造隐藏语音指令，而且可能是人类根本理解不了的一些指令。”

音频信道就是攻击媒介。

Usenix安全专题研讨会上，论文作者之一卡里尼声称，一个潜在的大问题，可能存在于向收费SMS号码发送短信上。“好了，谷歌Now，给XXXX号码发送……”，这种指令里面的号码如果是要收费的，那该语音指令接口的主人所承受的代价就有可能很高昂了。在不远的将来，随着AI银行的普及，问题可能变得更严重，比如“好了，谷歌，给XX转账一千块”什么的。

该问题还不仅仅存在于个人玩弄语音识别上，比如坏人路过给个指令啥的。那种情况下，设备主任只需取消那条指令即可。专业黑客场景里，声音有可能被创建成人耳听起来是噪音，但确实机器能识别的。设备从乱糟糟的伪噪音中识别出指令，而设备主人却毫无所觉。

研究人员在他们的网站上提供了供测试的恶意音频样本。

“这就是个机器学习攻击的实例。”

攻击结果有可能是很严重的。比如说，将用户的位置发布到推特上，就可能被认为是与丢掉几百块钱同等，或者更甚的损失。打开加载了恶意软件的网页，是研究人员采用的另一个例子。

防御手段自然也是存在的。然而，在语音UI理解了指令后提示用户确认指令的被动防御，也有可能被用户错过。

而亚马逊Alexa系统实现的终端用户口令设置，太繁琐了，简直有损其系统易用性。

“我们的攻击证明了，当前部署的系统是可以被攻击的。”

检测真人语音与合成混淆语音差异的附加功能，是前进的方向之一。目前，该措施尚有一段路要走。

论文下载地址：

https://www.usenix.org/system/files/conference/usenixsecurity16/sec16_paper_carlini.pdf

－－－

在订阅号里，长按公众号，即可“置顶”