Появление готовых инструментов искусственного интеллекта, которые могут клонировать человеческие голоса, вынудило разработчиков программного обеспечения для голосовой аутентификации создать дополнительный уровень безопасности, чтобы определить, является ли звуковой образец человеческим или созданным машиной.
Голосовая аутентификация обычно используется колл-центрами, банками, государственными учреждениями. Но ИИ означает, что атаковать такие системы стало проще, и исследователи заявляют, что вероятность успеха в подрыве такой безопасности составляет 99 процентов.
Поэтому пара ученых-компьютерщиков из Университета Ватерлоо в Канаде разработала метод, позволяющий обмануть и эти системы. В исследовательской статье, опубликованной в материалах 44-го симпозиума IEEE по безопасности и конфиденциальности, описывается фальсификация речевых записей, созданных искусственным интеллектом, для создания высокоэффективных «состязательных» образцов.
Аутентификация по голосу основана на том факте, что голос каждого человека уникален благодаря физическим характеристикам, таким как размер и форма голосового тракта и гортани, а также социальным факторам, таким как акцент.
Системы голосовой аутентификации фиксируют эти нюансы в голосовых отпечатках. Хотя звук, созданный ИИ, может довольно реалистично имитировать голоса людей, у алгоритмов ИИ есть свои отличительные артефакты, которые аналитики могут обнаружить искусственно созданными голосами. Техника, разработанная исследователями, пытается избавиться от этих особенностей, сохраняя при этом общее звучание.
«Идея состоит в том, чтобы «выгравировать» отпечаток голоса пользователя на поддельном образце», — написали в своей статье исследователи Андре Кассис и Урс Хенгартнер. «Наш противоборствующий движок пытается удалить машинные артефакты, которые преобладают в этих образцах».
Исследователи натренировали свою систему на образцах высказываний 107 говорящих, чтобы лучше понять, что делает речь человечной. Чтобы протестировать свой алгоритм, они создали несколько враждебных образцов, чтобы обмануть системы аутентификации — с вероятностью успеха 72%. Против некоторых довольно слабых систем они достигли 99-процентного успеха после шести попыток.
Однако это не означает, что программное обеспечение для голосовой аутентификации больше не существует. В случае с Amazon Connect — программным обеспечением, предоставляемым облачным контакт-центрам — они добились лишь десяти процентов успеха при четырехсекундной атаке и 40 процентов менее чем за 30 секунд. И программное обеспечение для аутентификации тоже совершенствуется.
Злоумышленники, надеющиеся осуществить такие атаки, должны иметь доступ к голосу своей цели и быть достаточно технически подкованными, чтобы генерировать собственные враждебные звуковые образцы, если они пытаются взломать более безопасную систему. Хотя барьер высок, исследователи предупредили компании, разрабатывающие программное обеспечение для голосовой аутентификации, продолжать работу.
«Показатели успеха наших атак вызывают беспокойство, — писали они, — в первую очередь из-за того, что они достигаются в условиях «черного ящика» и при предположениях о реалистичных моделях угроз». Выводы «подчеркивают серьезные недостатки систем голосовой аутентификации и подчеркивают необходимость в более надежных механизмах». ®
