Появление готовых инструментов искусственного интеллекта, которые могут клонировать человеческие голоса, может вынудить разработчиков программного обеспечения для голосовой аутентификации создать дополнительный уровень безопасности, чтобы определить, является ли звуковой образец человеческим или созданным машиной.
Голосовая аутентификация обычно используется колл-центрами, банками, государственными учреждениями и многими другими организациями. Но атаковать такие системы с помощью ИИ — обычно с использованием машинного обучения для имитации кого-то и аутентификации под ним — стало проще, и исследователи теперь заявляют о 99-процентном уровне успеха для подрыва такой безопасности при правильных обстоятельствах.
Эти исследователи — пара ученых-компьютерщиков из Университета Ватерлоо в Канаде, которые разработали метод обмана этих систем аутентификации. В их статье, опубликованной в материалах 44-го симпозиума IEEE по безопасности и конфиденциальности, описывается подделка речевых записей, созданных искусственным интеллектом, для создания высокоэффективных «состязательных» образцов.
Нам сказали, что эти образцы позволили ученым обойти проверки голосовой аутентификации в тестируемых ими системах.
Аутентификация по голосу основана на том факте, что голос каждого человека уникален благодаря физическим характеристикам, таким как размер и форма голосового тракта и гортани, а также социальным факторам, таким как акцент.
Эти системы аутентификации фиксируют эти нюансы в голосовых отпечатках. Хотя звук, созданный ИИ, может довольно реалистично имитировать голоса людей, у алгоритмов ИИ есть свои отличительные артефакты, которые аналитики могут обнаружить искусственно созданными голосами. Техника, разработанная исследователями, пытается избавиться от этих особенностей, сохраняя при этом общее звучание.
«Идея состоит в том, чтобы «выгравировать» отпечаток голоса пользователя на поддельном образце», — написали в своей статье дуэт компьютерщиков Андре Кассис и Урс Хенгартнер. «Наш противоборствующий движок пытается удалить машинные артефакты, которые преобладают в этих образцах».
Исследователи натренировали свою систему на образцах высказываний 107 говорящих, чтобы лучше понять, что делает речь человечной. Чтобы протестировать свой алгоритм, они создали несколько враждебных образцов, чтобы обмануть системы аутентификации — с вероятностью успеха 72%. Против некоторых довольно слабых систем они достигли 99-процентного успеха после шести попыток.
Однако это не означает, что программное обеспечение для голосовой аутентификации больше не существует. В случае с Amazon Connect — программным обеспечением, предоставляемым облачным контакт-центрам — они добились лишь десяти процентов успеха при четырехсекундной атаке и 40 процентов менее чем за 30 секунд. И программное обеспечение для аутентификации также совершенствуется, чтобы противостоять такого рода попыткам.
Злоумышленники, надеющиеся осуществить такие атаки, должны иметь доступ к голосу своей цели и быть достаточно технически подкованными, чтобы генерировать собственные враждебные звуковые образцы, если они пытаются взломать более безопасную систему. В феврале репортер Vice заявил, что смог войти в свой банковский счет с помощью искусственного интеллекта, обученного его голосу.
Хотя барьер довольно высок, исследователи призвали компании, разрабатывающие программное обеспечение для голосовой аутентификации, продолжать работать и совершенствоваться.
«Показатели успеха наших атак вызывают беспокойство, — писали они, — в первую очередь из-за того, что они достигаются в условиях «черного ящика» и при предположениях о реалистичных моделях угроз». Выводы «подчеркивают серьезные недостатки систем голосовой аутентификации и подчеркивают необходимость в более надежных механизмах». ®
