Mokslininkai parodė, kaip slapti garso signalai gali „užgrobti“ jūsų telefono DI asistentą

Mokslininkai nustatė, kad žmogui praktiškai negirdimi garso signalai gali būti panaudoti slaptoms komandoms perduoti dirbtinio intelekto (DI) balso asistentams. Tyrėjų teigimu, tokie signalai gali paveikti pažangius balso modelius net tada, kai vartotojas nesupranta, kad vyksta bandymas manipuliuoti sistema. Eksperimentuose įrodyta, kad kai kurie šiuolaikiniai DI asistentai gali būti priversti atlikti neautorizuotus veiksmus – nuo interneto paieškų iki failų atsisiuntimo ar jautrios informacijos perdavimo.

Tyrėjai demonstravo slaptą DI sistemų manipuliavimą

Moksliniame darbe aprašyta ataka pavadinta „AudioHijack“. Tyrėjų teigimu, jos esmė – į įprastą garso įrašą įterpti specialiai sugeneruotus signalus, kurių žmogaus ausis beveik nepastebi, tačiau DI modelis juos interpretuoja kaip instrukcijas.

Skirtingai nei ankstesni bandymai „nulaužti“ DI balsu, ši sistema orientuota ne į tiesioginį komandų diktavimą, o į paslėptą manipuliavimą. Tai reiškia, kad kenksmingos instrukcijos teoriškai galėtų būti įterptos į muziką, tinklalaides, nuotolinių susitikimų garsą, vaizdo įrašus ir kitus garso failus.

Šių atliktų eksperimentų metu mokslininkai testavo 13 skirtingų DI modelių, tarp jų – sistemas, galinčias vykdyti interneto paieškas, siųsti el. laiškus ar naudoti papildomus įrankius. Tyrimo rezultatuose teigiama, kad kai kuriais atvejais pasiektas 79–96 proc. „sėkmės“ rodiklis, kai modeliai iš tiesų sureaguodavo į paslėptas instrukcijas ir atlikdavo realius veiksmus.

TAIP PAT SKAITYKITE: Neraminantis atradimas: dirbtinio intelekto pokalbių robotai prakalbo nesuprantamu kodu

Tyrime taip pat pažymima, kad kai kurie modeliai į paslėptas instrukcijas reagavo net tada, kai garsas buvo užmaskuotas triukšmu ar muzikos fragmentais. Tyrėjų teigimu, tai rodo, jog tradicinės žmogaus klausos ribos nebūtinai apsaugo nuo tokių manipuliacijų, nes DI sistemos garsą analizuoja kitaip nei žmogus.

Kokios grėsmės gali kilti žmonėms?

Tyrėjų teigimu, didžiausia problema slypi tame, kad ateities DI asistentai tampa vis labiau panašūs į autonominius agentus. Jie gali ne tik atsakyti į klausimus, bet valdyti programas, tvarkyti dokumentus ir vartotojo asmeninę informaciją.

Tai reiškia, kad jei tokia ataka iš tiesų įvyktų, DI sistema teoriškai galėtų būti priversta atlikti veiksmus be aiškaus vartotojo sutikimo. Pavyzdžiui, atidaryti interneto nuorodas, atsisiųsti failus ar perduoti tam tikrus duomenis trečiosioms šalims.

Nors mokslininkai pabrėžia, kad tai kol kas yra laboratorinė demonstracija, jų teigimu, tokie eksperimentai parodo augančią riziką pasaulyje, kuriame DI asistentai tampa vis autonomiškesni. Kuo daugiau prieigos prie įrenginių, paskyrų ir asmeninių duomenų gauna DI, tuo svarbesnis tampa klausimas, ar žmogus iš tiesų galės kontroliuoti sistemas, kurios jo klausosi nuolat.