Ang mga Smart Speakers ay Maaaring I-hack sa pamamagitan ng Sound, Sabihin ang mga Mananaliksik Upang Itigil Ito

Paano kung sinabi namin sa iyo na ang isang hacker ay maaaring magbigay sa iyong Amazon Echo isang utos na hindi mo kahit na pagpansin - o kahit na kinakailangang gawin ang anumang pag-hack bilang karaniwan naming iniisip ito?

Moustafa Alzantot, isang computer science Ph.D. Ang kandidato sa Unibersidad ng California, Los Angeles ay nagsasabi na posible ito sa isang nakakahamak na aktor na magpadala ng isang partikular na tunog o senyas na karaniwan ay ganap na hindi napapansin ng mga tao ngunit nagiging sanhi ng malalim na pag-aaral ng mga algorithm ng A.I.

"Ang isang halimbawa ng isang pag-atake ay ang pagkontrol sa iyong home device, nang hindi mo alam kung ano ang nangyayari," Sinabi ni Alzantot Kabaligtaran. "Kung nagpe-play ka ng ilang musika sa radyo at mayroon kang isang Echo na nakaupo sa iyong kuwarto. Kung ang isang nakakahamak na artista ay makakapag-broadcast ng isang crafted na audio o musika signal tulad na ang Echo ay bigyang-kahulugan ito bilang isang utos, ito ay magpapahintulot sa magsasalakay na sabihin, i-unlock ang isang pinto, o bumili ng isang bagay.

Ito ay isang atake na kilala bilang isang adversarial halimbawa, at ito ay kung ano Alzantot at ang natitirang bahagi ng kanyang koponan ay naglalayong tumigil, tulad ng inilarawan sa kanilang papel kamakailan iniharap sa NIPS 2017 Machine Pandaraya workshop.

A.I. ay hindi naiiba kaysa sa katalinuhan ng tao na lumikha nito sa unang lugar: Mayroon itong mga bahid. Ang mga siyentipiko ng mga siyentipiko sa kompyuter ay may mga paraan upang ganap na lokohin ang mga sistemang ito sa pamamagitan ng bahagyang pagbabago ng mga pixel sa isang larawan o pagdaragdag ng malabong mga noises sa mga file na audio. Ang mga minutong pag-aayos ay ganap na hindi maitutukoy ng mga tao, ngunit ganap na binabago kung ano ang isang A.I. naririnig o nakikita.

"Ang mga algorithm ng Tesis ay idinisenyo upang subukin ang uri kung ano ang sinabi upang magawa nila ito," Sinasabi ni Mani Srivastava, isang siyentipikong computer sa UCLA, Kabaligtaran. "Sinisikap naming isantabi ang proseso sa pamamagitan ng pagmamanipula sa pag-input sa isang paraan na ang isang taong nasa malapit ay nakakarinig ng 'hindi' ngunit ang makina ay nakakarinig ng 'oo'. Kaya maaari mong pilitin ang algorithm na bigyang-kahulugan ang utos na naiiba kaysa sa sinabi."

Ang pinakakaraniwang halimbawa ng mga adversarial ay ang mga nauugnay sa mga algorithm ng pag-uuri ng imahe, o pag-aayos ng larawan ng isang aso na napakaliit upang gawin ang A.I. isipin ito ay isang bagay na ganap na naiiba. Ayon sa pananaliksik ni Alzantot at Srivastava na ang mga algorithm sa pagkilala sa pagsasalita ay madaling kapitan sa mga ganitong uri ng pag-atake.

Sa papel, gumamit ang grupo ng isang karaniwang sistema ng pag-uuri ng pananalita na matatagpuan sa open-source library ng Google, TensorFlow. Ang kanilang sistema ay inatasan upang isaayos ang mga utos ng isang salita, kaya makinig ito sa isang audio file at subukang ilarawan ito sa pamamagitan ng salitang sinabi sa file.

Pagkatapos ay naka-code sila ng isa pang algorithm upang subukan at linlangin ang sistema ng TensorFlow gamit ang mga pang-misyon na halimbawa. Ang sistemang ito ay nakahahamak sa pagsasalita ng klasipikasyon A.I. 87 porsiyento ng oras gamit ang kilala bilang isang pag-atake ng itim na kahon, kung saan ang algorithm ay hindi kailangang malaman ang anumang bagay tungkol sa disenyo ng kung ano ito ay umaatake.

"Mayroong dalawang mga paraan upang i-mount ang mga ganitong uri ng pag-atake," paliwanag ni Srivastava. "Ang isa ay kung kailan, alam ko na ang kaaway ay ang lahat ng bagay tungkol sa sistema ng pagtanggap, kaya't maaari kong gumawa ng isang estratehiya upang pagsamantalahan ang kaalaman na iyon, ito ay isang pag-atake ng puting kahon. Ang aming algorithm ay hindi nangangailangan ng pag-alam sa arkitektura ng modelo ng biktima, ginagawa itong itim na pag-atake ng kahon."

Ang mas malinaw na pag-atake ng mga itim na kahon ay mas epektibo, ngunit ang mga ito ay kung ano ang malamang na magamit sa isang real-life attack. Ang UCLA group ay nakamit ang isang mataas na rate ng tagumpay na 87 porsiyento kahit na hindi nila pinasadya ang kanilang pag-atake upang pagsamantalahan ang mga kahinaan sa kanilang mga modelo. Ang isang pag-atake ng puting kahon ay magiging mas epektibo sa paggulo sa ganitong uri ng A.I. Gayunpaman, ang mga virtual na katulong na tulad ng Alexa ng Amazon ay hindi lamang ang mga bagay na maaaring pinagsamantalahan gamit ang mga halimbawa ng mga adversarial.

"Ang mga makina na umaasa sa paggawa ng isang uri ng pagkakakilanlan mula sa tunog ay maaaring maloko," sabi ni Srivastava. "Maliwanag, ang Amazon Echo at ganito ay isang halimbawa, ngunit may maraming iba pang mga bagay kung saan ang tunog ay ginagamit upang gumawa ng mga inferences tungkol sa mundo. Mayroon kang mga sensor na naka-link sa mga sistema ng alarma na tumatagal ng tunog."

Ang pagsasakatuparan na ang mga artipisyal na sistema ng katalinuhan na kumukuha ng mga audio cues ay madaling kapitan sa mga adversarial na halimbawa ay isang hakbang na higit pa sa napagtatanto kung gaano makapangyarihang mga pag-atake na ito. Habang ang grupo ay hindi makakapag-pull off ang isang broadcast na pag-atake tulad ng isang Alzantot inilarawan, ang kanilang mga trabaho sa hinaharap ay umiikot sa paligid ng nakakakita kung magagawa iyon.

Habang sinusubukan lamang ng pananaliksik na ito ang limitadong mga utos ng boses at mga paraan ng pag-atake, itinampok nito ang isang posibleng pagkamit sa isang malaking bahagi ng consumer tech. Gumagawa ito bilang isang stepping stone para sa karagdagang pananaliksik sa pagtatanggol laban sa mga halimbawa at advocarial na pagtuturo A.I. kung paano sabihin sa kanila ang iba.