隐形音频攻击可劫持AI语音模型，研究发现研究发现，无法听见的音频攻击可以劫持AI语音模型

📄完整原文· 由 trafilatura 自动抓取Gemini 翻譯3492 字

简述 - 浙江大学的研究人员开发了 AudioHijack，可将人耳无法察觉的指令隐藏在音频中，以 79–96% 的成功率操控大型音频语言模型。 - 该攻击从开源模型转移至 Microsoft 和 Mistral 的商用语音 AI；大多数标准防御手段只能拦截一小部分尝试。 - 该团队目前正在研究该技术是否能通过共享的开源音频组件触及 OpenAI 和 Anthropic 的闭源模型。中国的大学研究人员发现了一种改变 AI 语音模型行为的方法，即在音频片段中嵌入人耳无法听到的隐藏指令。根据浙江大学的研究，该攻击的成功率最高可达 96%。该攻击方法在旧金山举行的第 47 届 IEEE Symposium on Security and Privacy 上发表，目标是大型音频语言模型（LALMs），这类模型能够处理语音指令并与外部工具和应用进行交互。 "训练这个信号只需要半小时，然后，由于这个信号与上下文无关，你可以随时用它来攻击目标模型，无论用户说什么，"该研究第一作者、浙江大学博士生 Meng Chen 在一份声明中表示。该攻击的原理是修改数字音频波形内部的数值，这些修改对人类听众而言无法察觉，但仍会影响 AI 模型对信号的解读方式。研究人员表示，即便音频片段中包含合法的用户指令，被操纵的音频也能覆盖或转向模型的行为。 AudioHijack 与传统的提示注入攻击不同，因为它并不操纵用户对 AI 所说的内容。相反，它改变的是音频信号本身，将隐藏指令嵌入人类无法听到的声音中。研究人员表示，这使得该攻击更难防御，因为它绕过了那些用于检测可疑文本提示的安全防护措施。研究人员在 13 个开源 AI 语音模型上测试了 AudioHijack，发现它能让这些模型拒绝请求、传播虚假信息、插入有害链接、改变性格，或执行用户从未要求的操作，包括网络搜索、文件下载，以及发送包含个人数据的电子邮件。这些攻击在 Microsoft 和 Mistral 采用类似技术的商用语音 AI 系统上也同样奏效。 "以往许多针对生成式模型的攻击要求攻击者完全控制最终输入模型的音频以及最初下达给模型的指令，本质上是冒充用户，"该研究指出。"而在这里，攻击者只操纵模型正在处理的音频数据，这使得在他人使用模型时对其发动攻击成为可能。" 根据该研究，可能的投递途径包括网络视频、音乐片段、语音备忘录，或上传至 AI 转录服务的 Zoom 通话音频。该团队还表示，尚未发表的后续研究已在实时 AI 语音对话中演示了类似的攻击。研究人员表示，监测模型内部的注意力机制是他们测试过的最有效的防御手段。然而，他们也发现，了解该防御机制的攻击者可以降低操纵的强度，同时仍保留攻击大部分的有效性。 "这些单点防御难以抵御我们的攻击，因为我们发现这些模型很难区分正常的用户意图和我们的对抗性攻击，"Chen 说。

数据状态✓ 已抓取全文阅读原文（Decrypt）

🔍历史类似事件· 关键词 + 标的比对6 则

2026-05-29

AI模型大多数时候连基本事实都无法达成一致，研究显示

相似度 180%關鍵字 models/study/can

2026-05-28

高达 82% 的 AI 工程支出因 bug、重写和延期而流失：研究发现

相似度 130%關鍵字 study/finds

2026-05-27

ElevenLabs 和 Stability AI 發布全新 AI 音樂模型——它們能追上 Suno 嗎？

相似度 130%關鍵字 models/can

2026-05-19

人们更愿意对 AI 撒谎而非对人类，研究发现

相似度 130%關鍵字 study/finds

2026-04-26

Polymarket 研究發現 3.14% 的驅動準確度

相似度 100%關鍵字 study/finds

2026-04-26

研究發現，僅 3% 的交易者推動了預測市場的準確性，而非大眾。

相似度 100%關鍵字 study/finds

💡 目前用关键词 + 标的比对（MVP）· 之后会升级为 embedding 语义搜寻

原始信息

ID：24ebb9cbc1

来源：Decrypt

发布：2026-05-26 17:17:04

分类：一般 · 导出分类 neutral

标的：未指定

社群投票：+0 / −0 · ⭐ 0 重要 · 💬 0 留言

隐形音频攻击可劫持AI语音模型，研究发现 研究发现，无法听见的音频攻击可以劫持AI语音模型

隐形音频攻击可劫持AI语音模型，研究发现研究发现，无法听见的音频攻击可以劫持AI语音模型