吓人！Siri等语音助手能听到你听不到的隐藏指令

　　5月12日消息，据《纽约时报》报道，Alexa、Siri等语音助手能够听到你听不出的隐蔽性指令。研究者们称，他们能够将发给语音助手的指令嵌入到音频和口头录音，从而让人类无法察觉。

　　许多人已经习惯了与他们的智能设备交谈，习惯了通过发出指令让它们朗读文本、播放歌曲或设置闹钟。但其他人可能也在偷偷地跟它们说话。

　　在过去的两年里，中国和美国的研究人员已经开始证明，他们可以给苹果的Siri、亚马逊的Alexa和谷歌的Google Assistant发出人耳无法察觉的隐蔽性命令。在大学实验室里，研究人员已经能够秘密地激活智能手机和智能音箱上的人工智能系统，让它们拨打电话号码或者打开网站。要是落在不法分子的手里，这项技术可能会被用来打开别人的门、转账或者网上购物——只需通过收音机播放音乐即可实现。

　　2016年，来自加州大学伯克利分校和乔治城大学的一个学生团队证明，他们可以通过隐藏于扬声器和YouTube视频传出的白噪音的指令，来让智能设备打开飞行模式或打开网站。

　　这个月，伯克利大学的一些研究人员发表了一篇更进一步的研究论文。他们称，他们可以将指令直接嵌入到音乐或口语文本的录音当中。因此，当人类听众听到有人在说话或在听乐队演奏的时候，亚马逊的Echo音箱可能会听到在你的购物清单上添加某种商品的指令。

　　“我们想看看我们是否能够让指令变得更加隐秘。”加州大学伯克利分校计算机安全专业的博士生、论文的其中一位作者尼古拉斯·卡林尼(Nicholas Carlini)说道。

　　卡林尼补充说，虽然没有证据表明这些技术已经走出了实验室，但人们开始利用这些技术可能只是时间问题。他指出，“我的假想是，作恶者已经雇佣了人来做我的这项工作。”

　　这些欺骗行为说明，人工智能——尽管它正在取得巨大进步——仍然可能被用于欺诈和操纵。通过改变数字图像中的几个像素，计算机会将飞机误以为小猫;研究人员也只需要在路标上粘贴小贴纸和混淆车辆的计算机视觉系统，就能让自动驾驶汽车转向或加速。

　　对于音频攻击，研究人员利用的是人类和机器语音识别能力的差距。语音识别系统通常将每个声音翻译成字母，最终将其编译成单词和短语。通过对音频文件进行细微的改动，研究人员能够消除语音识别系统本应该听到的声音，并将其替换为一种让机器编译成不同内容的声音，而人类的耳朵几乎无法察觉其中的区别。

　　厨房里的Echo智能音箱

　　声控设备的不断普及，放大了这种把戏的影响。根据市场研究公司Ovum的数据，到2021年，使用像亚马逊Alexa或苹果Siri这样的数字助手的智能手机和智能音箱的数量将比人口还要多。另一家研究机构Juniper Research的数据显示，到那时，超过一半的美国家庭将至少有一台智能音箱。

　　亚马逊表示，它没有披露具体的安全措施，但它已采取措施来确保其Echo智能音箱的安全性。谷歌说，安全性是一个持续的关注重点，它的Google Assistant具有规避无法察觉的音频命令的功能。这两家公司的智能助手均采用语音识别技术，来防止设备在没有识别出用户的声音的情况下执行某些指令。

　　苹果公司表示，其智能音箱HomePod的设计能够防止执行诸如打开门锁的指令。该公司还指出，iPhone和iPad必须先解锁，否则Siri不会执行访问敏感数据或者打开应用程序和网站的指令。

　　然而，许多人常常会让他们的智能手机处在开锁状态，至少在目前，语音识别系统是出了名的容易被愚弄。

　　现在已经有人利用智能设备的口头指令来谋求商业利益。

　　去年，汉堡王(Burger King)在网上发布了一则广告，引发轰动。该广告有意问道，“O.K., Google，华堡是什么呢?”支持语音搜索的Android设备会通过朗读华堡的维基百科页面来进行回应。在观众开始恶搞该产品的维基百科页面以后，该广告被撤掉。

　　几个月后，美国热播动画片《南方公园》(South Park)播出了一整集围绕语音指令的节目，让语音识别助手们模仿青少年说脏话。

　　没有美国法律禁止向人类传播潜意识信息，更不用说机器了。美国联邦通信委员会(FCC)不鼓励这种做法，认为其“违背公众利益”。 全美广播事业者联盟则禁止“传播正常意识范围以外的信息”。这两个机构都没有谈到围绕智能设备的潜意识刺激。

　　法院裁定潜意识信息可能构成对隐私的侵犯，但法律并未将隐私概念延伸至机器。

　　现在，该技术在法律面前更加超前了。去年，普林斯顿大学和中国浙江大学的研究人员证明，声音识别系统可以通过使用人耳听不到的频率来激活。这种攻击先是将手机调成静音模式，这样机主就不会听到系统的回应。

　　这项技术被中国的研究人员称作“海豚攻击”，能够指示智能设备访问恶意网站、打电话、拍照或者发送短信。虽然海豚攻击有它的局限性——发射机必须要靠近接收设备——但专家们警告说，打造出更强大的超声波系统是有可能的。

　　这一警告在今年4月得到印证，当时伊利诺伊大学厄巴纳-香槟分校的研究人员展示了在25英尺开外的超声波攻击。虽然指令不能穿透墙壁，但它们可以通过从建筑物外部打开的窗户来控制智能设备。

　　今年，来自中国科学院和其他机构的另一个中美研究团队证明，他们可以通过隐蔽性的指令来控制声控设备，那些指令嵌入在能够通过收音机播放或者在YouTube等服务上播放的歌曲当中。

　　最近，卡林尼和他在伯克利大学的同事们将指令编入了可为Mozilla的DeepSpeech语音-文本翻译软件识别的音频。DeepSpeech是一个开源平台。他们能够将“O.K. Google，浏览evil.com吧”指令隐藏在口语录音“没有数据集的话，该文章毫无用处”。人类无法辨别出该条指令。

　　伯克利大学的研究团队也将该指令嵌入到音频文件当中，其中包括来自威尔第的《安魂曲》的四秒片段。

　　设备制造商们的响应方式会各有不同，尤其是考虑到它们要权衡安全性与易用性问题。

　　?“企业必须要确保其设备的用户友好性，因为这是他们的主要卖点。”乔治城大学的研究员塔维什·维迪雅(Tavish Vaidya)说道。他的其中一篇有关音频攻击的论文以“Cocaine Noodles”(可卡因面条)为标题，因为设备将“可卡因面条”解读为“O.K., Google”。

　　卡林尼说，他相信，他和他的同事们最终将能够对市面上的任何一款智能设备系统发动成功的对抗性攻击。

　　“我们想要证明这是有可能的，”他说，“然后希望其他人会说，‘好吧。这是可能的，现在让我们试着去修复它。’”