人工智能有巨大的潛能改變人類命運，但同樣存在一定安全風險。例如，據(jù)全球著名漏洞數(shù)據(jù)庫CVE披露，典型機器學習開源框架平臺安全漏洞數(shù)量逐漸增多；越來越多的新型安全攻擊手法，如對抗樣本攻擊、數(shù)據(jù)投毒攻擊、模型竊取攻擊等開始出現(xiàn)在AI設計的研發(fā)階段。

更重要的是，隨著AI語音技術突飛猛進的發(fā)展，深度偽造AI變聲技術已成為語音詐騙的利器。如2019年英國某公司CEO就曾遭AI語音詐騙，損失220，000歐元（約合人民幣173萬元）。

近日，有研究發(fā)現(xiàn)，VoIP電話劫持與AI語音模擬正在成為一種新型的攻擊技術，區(qū)別于此前腳本類的電信詐騙，它可實現(xiàn)從電話號碼到聲音音色的全鏈路偽造，攻擊者可以利用漏洞劫持VoIP電話，實現(xiàn)虛假電話的撥打，并基于深度偽造AI變聲技術生成特定人物的聲音進行詐騙。

圖注：實時語音詐騙的整體流程

4月16日，在全球頂級信息安全峰會CanSecWest 2021上，騰訊朱雀實驗室作了題為《The Risk of AI Abuse: Be Careful with Your Voice（AI被濫用的風險：小心您的聲音安全》的演講，分享了該團隊在應對VoIP電信詐騙方面的最新研究成果。

騰訊朱雀實驗室研究顯示，在VoIP電話劫持中，利用少量被攻擊者的聲音，可以合成與被攻擊者音色相似的任意內容的語音片段，再將虛假語音注入到電話中，就能達到以假亂真的效果，實現(xiàn)完整的電話欺騙鏈路。攻擊者可以輕松撥打虛假電話，冒充被攻擊者身份與目標人員對話。

針對這一潛在風險，他們提出了“用AI對抗AI”的解決思路，即使用AI技術提取真實語音和虛假語音的特征，再根據(jù)特征差異來分辨真實語音和生成語音。再根據(jù)特征差異來分辨真實語音和生成語音。

圖注： 用AI對抗AI

兩種新型攻擊方式

VoIP是一種語音通話技術，經(jīng)由IP來進行語音通話和參與多媒體會議，由于其使用便捷、成本低廉的特性，VoIP在全球范圍內被廣泛應用于辦公電話場景中。而VoIP電話劫持是由于早期版本的VoIP存在被網(wǎng)絡嗅探，并實施中間人攻擊的風險，攻擊者可利用漏洞篡改來電方的人名及電話號碼，使得接聽方的電話顯示為預設的任意內容。

總的來說，這種新型攻擊的實現(xiàn)方式分為兩個部分，一是VoIP電話劫持，二是語音模擬。

1、VoIP電話劫持

（ 1）音頻嗅探技術

在某品牌CP-79XX系列電話中，通信使用SCCP協(xié)議，該協(xié)議沒有使用TLS對流量進行加密，導致可以在同vLAN下對目標電話進行竊聽操作。

ARP協(xié)議是網(wǎng)絡行為中應用廣泛的基礎數(shù)據(jù)鏈路層協(xié)議，用于在局域網(wǎng)內完成IP到MAC地址的轉換。在正常的網(wǎng)絡通信中，我們在訪問一個IP地址時首先會在同局域網(wǎng)下發(fā)送問詢廣播包：Who has 10.15.2.1？

在接收到該廣播的主機會比較問詢IP是否為自己的IP，如果是則向詢問主機發(fā)送應答包，應答包中包含自身的MAC地址。隨后詢問主機會根據(jù)MAC地址構造自己的數(shù)據(jù)包完成數(shù)據(jù)交互。

在操作系統(tǒng)中存在ARP緩存表來加速這種映射關系，當黑客攻擊ARP協(xié)議是會搶先應答ARP廣播，從而造成被攻擊者的ARP緩存表被投毒的情況，再后續(xù)的網(wǎng)絡通信中，數(shù)據(jù)包均會被發(fā)送到黑客的主機中：

圖注： ARP攻擊示意

下圖是真實的ARP應答包：

圖注： 真 實ARP應答流量

通過這種ARP欺騙的攻擊方式，攻擊者將被攻擊者的語音流量劫持到攻擊者主機，并進行RTP語音流的還原實現(xiàn)竊聽操作：

圖注： VoIP電話劫持： 電話竊聽

（2）來電身份及語音篡改

在監(jiān)控電話流量時，攻擊者通過修改SCCP協(xié)議中呼入者的用戶名與電話號碼信息：

圖注： 篡改呼入姓名與呼入電話

SCCP協(xié)議在無法對呼入數(shù)據(jù)做真實性校驗，而將數(shù)據(jù)包中的呼入姓名與來電號碼完整的現(xiàn)實在來電屏中：

圖 注： 篡改呼入姓名與呼入電話效果

在呼入姓名與呼入電話號碼篡改后繼續(xù)修改RTP協(xié)議中的語音流，實現(xiàn)完整的電話欺騙鏈路：

圖注： 語音流替換

2、語音模擬

語音模擬可以根據(jù)源人物的說話內容合成具有目標人物音色特征的音頻輸出。這項技術其實并不新鮮，早已在許多現(xiàn)實場景中應用落地，比如地圖應用中的定制播報語音，利用少量自己的聲音，就可以定制自己語音的播放聲音。同樣，在VoIP電話劫持中，利用少量被攻擊者的聲音，就可以合成與被攻擊者音色相似的任意內容的語音片段，一旦被惡意利用，攻擊者可以輕松撥打虛假電話，與目標人員對話。

這里語音模擬用的是語音克隆技術，該技術只需要數(shù)秒目標人物的音頻數(shù)據(jù)和一段任意的文本序列，就可以得到逼真的合成音頻?；谏疃葘W習的語音克隆技術主要包含音色編碼器、文本編碼器、解碼器、語音生成器幾個模塊：

音色編碼器：音色編碼器從音頻中提取不同說話人的語音特征。

文本編碼器：文本編碼器將輸入文本轉換為特征。

解碼器：解碼器將說話人特征和文本特征拼接后的結果轉化為梅爾聲譜圖。

語音生成器：最后語音生成器根據(jù)梅爾聲譜圖合成語音。

圖注： 語音模擬過程

如何防范？

其實針對語音的攻擊手段并不只有這一種，通過給語音中添加微小擾動，或修改部分頻譜信息，就可以欺騙語音識別系統(tǒng)?；蛘邔拘衙铍[藏在不易察覺的音樂中，就可能喚醒智能設備進行對應操作。

那 么 還如何防范這樣的攻擊，騰訊朱雀實驗團隊從防范傳統(tǒng)攻擊以及AI惡意應用兩個方面給出了一些建議：

首先，要防御類似的攻擊手法，需要防止VoIP漏洞被攻擊者利用，安全工程師建議，可以使用新版本的VoIP協(xié)議電話，如SIP、SRTP等，減少數(shù)據(jù)被嗅探甚至被篡改流量包的風險。

其次，可以通過上述提到的用AI對抗AI法，規(guī)避AI技術的不合理應用。在這種攻擊中，需要借助語音生成技術來合成虛假語音，可以基于AI技術來提取真實語音和虛假語音特征，根據(jù)特征差異來分辨真實語音和生成語音。

在CanSecWest 2021峰會上，騰訊云副總裁、騰訊安全平臺部負責人楊勇在表示，AI技術與傳統(tǒng)安全攻擊技術的結合，衍生了新的應用場景和與之對應的濫用風險，如AI的數(shù)據(jù)、算法、模型、基礎組件等核心要素更加需要安全的加持。騰訊朱雀實驗室就一直致力于實戰(zhàn)級APT攻擊和AI安全研究，持續(xù)深耕現(xiàn)實網(wǎng)絡安全，為AI技術的正向用、放心用保駕護航。

據(jù)了解，這是騰訊前沿安全研究團隊相關成果連續(xù)第四年入選CanSecWest議題。

CanSecWest 是全球頂級信息安全峰會，一直以其權威性、熱點性、前沿性而備受行業(yè)關注。在本屆峰會上，除了騰訊朱雀實驗室，來自百度、Adobe、Macfee、IOActive、加利福尼亞大學河濱分校等全世界的頂級安全專家也悉數(shù)到場，圍繞AI、云原生、物聯(lián)網(wǎng)、可信計算等安全前沿技術領域展開深入探討。