Intelligente Lautsprecher können durch Ton gehackt werden, sagen Forscher, um sie zu stoppen

Was wäre, wenn wir Ihnen sagen würden, dass ein Hacker Ihrem Amazon Echo einen Befehl erteilen könnte, ohne dass Sie es überhaupt merken - oder sogar so tun müssen, wie wir normalerweise daran denken?

Moustafa Alzantot, ein Informatik-Ph.D. Ein Kandidat an der University of California in Los Angeles sagt, es sei theoretisch möglich, dass ein böswilliger Schauspieler ein bestimmtes Geräusch oder Signal sendet, das normalerweise für den Menschen völlig unbemerkt bleiben würde, die tiefen Lernalgorithmen des A. I. jedoch ins Stocken geraten würde.

"Ein Beispiel für einen Angriff wäre die Kontrolle Ihres Heimgeräts, ohne dass Sie wissen, was passiert", sagt Alzantot Inverse. „Wenn Sie im Radio Musik hören und ein Echo in Ihrem Zimmer sitzt, Wenn ein bösartiger Schauspieler in der Lage ist, ein Audio- oder Musiksignal zu senden, sodass das Echo es als Befehl interpretiert, kann der Angreifer sagen, eine Tür aufschließen oder etwas kaufen. “

Dies ist ein Angriff, der als widersprüchliches Beispiel bekannt ist, und es ist das Ziel von Alzantot und dem Rest seines Teams, das in seinem kürzlich auf dem NIPS 2017 Machine Deception Workshop präsentierten Vortrag beschrieben wird.

A.I. unterscheidet sich nicht von der menschlichen Intelligenz, die es überhaupt geschaffen hat: Es hat seine Mängel. Informatikforscher haben Wege gefunden, diese Systeme vollständig zu täuschen, indem sie die Pixel in einem Foto leicht verändern oder den Audiodateien schwache Geräusche hinzufügen. Diese winzigen Änderungen sind für den Menschen völlig nicht nachweisbar, ändern jedoch völlig das, was ein A.I. hört oder sieht.

"Diese Algorithmen sollen versuchen zu klassifizieren, was gesagt wurde, damit sie darauf reagieren können", erzählt der Informatiker Mani Srivastava von der UCLA Inverse. „Wir versuchen den Prozess zu unterlaufen, indem wir die Eingabe auf eine Art und Weise manipulieren, die ein Mensch in der Nähe„ Nein “hört, die Maschine jedoch„ Ja “hört. Sie können also den Algorithmus zwingen, den Befehl anders zu interpretieren als das, was gesagt wurde. “

Die häufigsten gegnerischen Beispiele sind solche, die sich auf Bildklassifizierungsalgorithmen beziehen, oder ein Foto eines Hundes leicht anpassen, um den A.I. denke, es ist etwas völlig anderes. Die Untersuchungen von Alzantot und Srivastava haben gezeigt, dass auch Spracherkennungsalgorithmen für diese Art von Angriffen empfänglich sind.

In der Arbeit verwendete die Gruppe ein Standard-Sprachklassifizierungssystem, das in der Open-Source-Bibliothek von Google, TensorFlow, zu finden ist. Ihr System hatte die Aufgabe, Ein-Wort-Befehle zu klassifizieren, also hörte sie eine Audiodatei an und versuchte, sie mit dem in der Datei genannten Wort zu benennen.

Sie codierten dann einen anderen Algorithmus, um das TensorFlow-System anhand von Gegenbeispielen auszuliefern. Dieses System konnte die Sprachklassifizierung A.I. In 87 Prozent der Fälle wird ein sogenannter Black-Box-Angriff verwendet, bei dem der Algorithmus nicht einmal etwas über das Design des Angriffs wissen muss.

"Es gibt zwei Möglichkeiten, diese Art von Angriffen durchzuführen", erklärt Srivastava. „Zum einen weiß ich als Gegner alles über das empfangende System. Ich kann mir jetzt eine Strategie ausdenken, um dieses Wissen auszunutzen. Dies ist ein White-Box-Angriff. Unser Algorithmus erfordert nicht, die Architektur des Opfermodells zu kennen, sodass es zu einem Black-Box-Angriff wird. “

Black-Box-Angriffe sind eindeutig weniger effektiv, würden aber auch bei einem Angriff aus dem echten Leben eingesetzt. Die UCLA-Gruppe konnte eine so hohe Erfolgsquote von 87 Prozent erzielen, selbst wenn sie ihren Angriff nicht darauf ausrichteten, Schwachstellen in ihren Modellen auszunutzen. Ein White-Box-Angriff wäre umso effektiver, wenn er mit dieser Art von A.I. Virtuelle Assistenten wie die Alexa von Amazon sind jedoch nicht die einzigen Dinge, die anhand von Gegenbeispielen ausgenutzt werden könnten.

"Maschinen, die darauf angewiesen sind, aus Geräuschen eine Art Inferenz zu machen, könnten getäuscht werden", sagte Srivastava. „Natürlich ist das Amazon Echo und so ein Beispiel, aber es gibt viele andere Dinge, bei denen der Ton Rückschlüsse auf die Welt zulässt. Sie haben Sensoren, die mit Alarmsystemen verbunden sind, die den Ton aufnehmen. “

Die Erkenntnis, dass künstliche Intelligenzsysteme, die Audiosignale aufnehmen, auch für widersprüchliche Beispiele anfällig sind, ist ein weiterer Schritt zur Erkenntnis, wie mächtig diese Angriffe sind. Während die Gruppe nicht in der Lage war, einen Rundfunkangriff wie den von Alzantot beschriebenen durchzuführen, wird sich ihre zukünftige Arbeit darauf konzentrieren, zu sehen, wie machbar das ist.

Während diese Forschung nur begrenzte Sprachbefehle und Angriffsformen testete, zeigte sie eine mögliche Ehrwürdigkeit in einem großen Teil der Consumer-Technologie. Dies ist ein Sprungbrett für die weitere Forschung zur Verteidigung gegen widersprüchliche Beispiele und zum Unterricht von A.I. wie man sie voneinander unterscheidet