OpenAI近日發(fā)布的GPT-4o多模態(tài)大語言模型震驚了世界����,該模型可以通過傳感器感知世界并與人類通過語音進行無縫交流����,完成各種復(fù)雜任務(wù)(例如給孩子輔導(dǎo)數(shù)學(xué)),將科幻電影中的智能機器人場景帶入現(xiàn)實��。
GPT-4o的問世標(biāo)志著大語言模型與人類交互的主要渠道正從鍵盤/文本轉(zhuǎn)向語音�,能夠遵循語音指令并生成文本/語音響應(yīng)的集成式語音和大語言模型(SLM)越來越受歡迎。蘋果Siri�����、亞馬遜Alexa等可與大語言模型整合的語音智能助理也將迎來第二春�����。但與此同時,一個新的人工智能安全風(fēng)險也正浮出水面:對抗性語音攻擊����。
語音大模型的致命漏洞
近日,亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)的研究人員發(fā)布了一項新研究���,揭示了能夠理解和回應(yīng)語音的多模態(tài)大語言模型存在重大安全漏洞�����。該論文題為《SpeechGuard:探索多模態(tài)大語言模型的對抗魯棒性》��,詳細(xì)描述了這些AI系統(tǒng)如何被精心設(shè)計的音頻攻擊操控�����,進而生成有害�����、危險或不道德的響應(yīng)����。
語音接口已經(jīng)在智能音箱和AI助手(例如蘋果的Siri和亞馬遜的Alexa)中普及�����,隨著功能強大的大語言模型也開始依賴語音接口執(zhí)行復(fù)雜任務(wù),確保語音大模型技術(shù)的安全性和可靠性變得空前緊迫起來��。
AWS的研究人員發(fā)現(xiàn)��,即使內(nèi)置了安全檢查�����,語音大模型在“對抗性攻擊”面前表現(xiàn)得極為脆弱�。這些攻擊通過對音頻輸入進行人類難以察覺的微小篡改����,就能完全改變大模型的行為(越獄)。
研究論文中的一幅圖示(上圖)展示了一個語音問答AI系統(tǒng)在遭受對抗性攻擊時�,如何被操控以提供不道德或者非法內(nèi)容,例如如何搶劫銀行��。研究人員提出了一種預(yù)處理防御方法�����,以緩解基于語音的大模型中的此類漏洞(圖片來源:arxiv.org)�����。
攻擊成功率高達(dá)90%
研究者設(shè)計了一種算法,可以在白盒攻擊(攻擊者擁有有關(guān)目標(biāo)模型的所有信息��,例如其架構(gòu)和訓(xùn)練數(shù)據(jù))和黑盒攻擊(攻擊者僅能訪問目標(biāo)模型的輸入和輸出��,而不知道其內(nèi)部工作原理)設(shè)置下生成對抗性樣本�,實現(xiàn)無需人工干預(yù)的語音大模型越獄。
“我們的越獄實驗展示了語音大模型在對抗性攻擊/白盒攻擊和轉(zhuǎn)移攻擊/黑盒攻擊面前是多么脆弱��?�;诰脑O(shè)計的有害問題數(shù)據(jù)集進行評估時����,平均攻擊成功率分別為90%(對抗性攻擊/白盒攻擊)和10%(轉(zhuǎn)移攻擊/黑盒攻擊)?�!闭撐淖髡邔懙溃骸斑@引發(fā)了關(guān)于不法分子者可能大規(guī)模利用語音大模型的嚴(yán)重?fù)?dān)憂��?���!?
通過一種名為投影梯度下降(PGD)的方法,研究人員能夠生成對抗性樣本,成功使語音大模型輸出了12個不同類型的有害內(nèi)容�����,包括暴力內(nèi)容和仇恨言論���。令人震驚的是���,在能夠完全訪問模型的情況下,研究者突破模型安全壁壘的成功率高達(dá)90%����。
研究者展示了如何在不同的語音大模型上進行對抗性攻擊,使用跨模型和交叉提示攻擊等技術(shù)來引發(fā)意想不到的響應(yīng)
黑盒攻擊:對現(xiàn)實世界構(gòu)成威脅
更令人擔(dān)憂的是�,研究顯示�����,在一個語音大模型上設(shè)計的音頻攻擊往往可復(fù)用到其他模型�����,即使沒有直接訪問權(quán)限(這是一個現(xiàn)實的場景���,因為大多數(shù)商業(yè)大模型提供商僅允許有限的API訪問)��。雖然黑盒攻擊的成功率下降到10%�,但這仍然是一個嚴(yán)重的漏洞。
該論文的主要作者Raghuveer Peri指出:“對抗性語音攻擊在不同模型架構(gòu)間的可復(fù)用性表明�����,這不僅是特定實現(xiàn)的問題�,而是我們目前訓(xùn)練人工智能系統(tǒng)以確保其安全和對齊的方法存在更深層次的缺陷?����!?
隨著企業(yè)越來越依賴語音AI提供客戶服務(wù)�����、數(shù)據(jù)分析和其他核心功能��,對抗性語音攻擊的影響是廣泛而深遠(yuǎn)的�。除了AI失控可能帶來的聲譽損害之外,對抗性攻擊還可能被用于欺詐��、間諜活動�,甚至如果與自動化系統(tǒng)連接,還可能帶來物理傷害。
應(yīng)對措施與未來之路
研究人員還提出了幾種應(yīng)對措施����,例如在音頻輸入中添加隨機噪聲——一種隨機平滑技術(shù)。在實驗中�����,該方法顯著降低了攻擊成功率�。然而,作者警告稱���,這并不是一個完善的解決方案����。
“防御對抗性攻擊是一場持續(xù)的軍備競賽�,”Peri指出:“隨著大模型的能力不斷增強,其被濫用的可能性也在不斷增加����。人工智能公司需要持續(xù)投資確保大模型在對抗性攻擊中能夠保持安全性和可靠性�。”
研究使用的語音大模型通過對話數(shù)據(jù)進行訓(xùn)練���,以在語音問答任務(wù)中達(dá)到最先進的性能�����,在攻擊前的安全性和可靠性基準(zhǔn)均超過了80%��。這凸顯了隨著技術(shù)進步���,人工智能系統(tǒng)的功能與安全能力已經(jīng)失衡��。
隨著全球科技巨頭爭先恐后開發(fā)和部署越來越強大的語音AI����,亞馬遜的安全研究及時敲響了警鐘����,安全必須成為發(fā)展AI的首要任務(wù),而不是馬后炮���。監(jiān)管機構(gòu)和IT行業(yè)需要共同努力���,建立嚴(yán)格的標(biāo)準(zhǔn)和測試協(xié)議。
正如論文共同作者Katrin Kirchhoff所言:“我們正處于AI技術(shù)的拐點�����。AI具有極大的潛力并為社會帶來價值,但如果不負(fù)責(zé)任地開發(fā)��,也可能帶來危害���。這項研究是確保我們在享受語音AI帶來的好處的同時��,做到風(fēng)險可控����?��!?
