ASR-атаки (аудио)¶
AppSec.GenAI реализует 6 типов состязательных атак на модели автоматического распознавания речи (ASR — Automatic Speech Recognition). Атаки внедряют в аудиосигнал скрытые триггеры или целенаправленные возмущения, которые не воспринимаются человеком, но приводят к ошибочному распознаванию моделью.
Обзор¶
Атаки доступны при создании профиля сканирования с типом Аудио. На странице Классификация атак → Аудио их можно просмотреть в виде карточек.
| Характеристика | Значение |
|---|---|
| Модальность | Аудио (распознавание речи) |
| Количество атак | 6 |
| Типы доступа | Black-box (5), White-box (1 — BIM) |
| GPU | Требуется только для BIM |
| Время выполнения | 8--30 минут |
Типы доступа¶
| Тип | Описание |
|---|---|
| Black-box | Используется только результат распознавания модели (без градиентов) |
| White-box | Требуется доступ к градиентам локальной модели (только BIM) |
Классификация по принципу действия¶
| Тип | Описание | Атаки |
|---|---|---|
| Backdoor-инъекции | Внедрение скрытых акустических триггеров в аудиосигнал | DABA, PIBA, Ultrasonic, JingleBack, PBSM |
| Градиентные атаки | Целенаправленное возмущение аудио для получения заданной транскрипции | BIM |
Сводная таблица атак¶
| Атака | Тип доступа | GPU | Сложность | Время (мин) | Краткое описание |
|---|---|---|---|---|---|
| DABA (Dual Adaptive Backdoor Attack) | Black-box | Нет | Высокая | 10 | Многоцикловая инъекция акустического триггера |
| PIBA (Pitch-based Backdoor Attack) | Black-box | Нет | Средняя | 8 | Триггер с адаптацией амплитуды по перцентилю |
| Ultrasonic Attack | Black-box | Нет | Высокая | 12 | Команды на неслышимых ультразвуковых частотах |
| JingleBack | Black-box | Нет | Средняя | 15 | Музыкальный джингл как бэкдор-триггер |
| PBSM (Periodic Backdoor Signal Modulation) | Black-box | Нет | Высокая | 10 | Периодические триггеры, разделённые паузами |
| BIM (Basic Iterative Method) | White-box | Да | Высокая | 30 | Градиентная атака для заданной транскрипции |
Общие параметры¶
Большинство ASR-атак (кроме BIM) содержат общие параметры управления триггером:
| Параметр | Описание |
|---|---|
| Частота дискретизации | Частота дискретизации аудио (выпадающий список с метками, например 16000 Гц (речь), 22050 Гц, 48000 Гц (студия)) |
| Ограничение амплитуды (clip) | Ограничение амплитуды для предотвращения переполнения сигнала |
| Режим перегрузки (overload) | включён — замена участка аудио триггером, выключен — наложение триггера на оригинал |
Аудиофайл для атаки выбирается не в профиле, а при запуске сканирования — на шаге Параметры диалога «Новое сканирование» (см. Запуск сканирований).
Параметры атак¶
Ниже приведены параметры каждой атаки с их значениями по умолчанию в интерфейсе.
DABA — Dual Adaptive Backdoor Attack¶
Режим: Black-box | GPU: Нет | Сложность: Высокая
Выполняет многоцикловую инъекцию акустического триггера в случайные позиции аудиозаписи. Каждый цикл добавляет один и тот же триггер в разные места, что делает бэкдор более робастным и труднообнаруживаемым по сравнению с однократной инъекцией.
| Параметр | По умолчанию |
|---|---|
| Частота (Гц) | 150 |
| Длительность (с) | 0.08 |
| Циклы | 7 |
| Частота дискретизации | 16000 Гц (речь) |
| Ограничение амплитуды (clip) | включено |
| Режим перегрузки (overload) | включён |
Совет
Увеличение параметра Циклы до 7--10 повышает робастность триггера, но может сделать его заметнее для человека. Оптимальный баланс — 5--7 циклов.
PIBA — Pitch-based Backdoor Attack¶
Режим: Black-box | GPU: Нет | Сложность: Средняя
Использует перцентиль амплитуды оригинального аудио для масштабирования триггера. Амплитуда триггера адаптируется к громкости записи, что делает его более скрытным.
| Параметр | По умолчанию |
|---|---|
| Частота (Гц) | 180 |
| Длительность (с) | 0.06 |
| Персентиль | 0.30 |
| Частота дискретизации | 16000 Гц (речь) |
| Ограничение амплитуды (clip) | включено |
| Режим перегрузки (overload) | включён |
Примечание
Низкие значения параметра Персентиль (0.1--0.3) обеспечивают максимальную скрытность, но могут снизить эффективность атаки. Рекомендуемый диапазон — 0.2--0.4.
Ultrasonic Attack¶
Режим: Black-box | GPU: Нет | Сложность: Высокая
Внедряет команды на ультразвуковых частотах, неслышимых для человека, но распознаваемых ASR-моделями после понижения частоты дискретизации (downsampling).
| Параметр | По умолчанию |
|---|---|
| Частота (Гц) | 40000 |
| Длительность (с) | 0.15 |
| Частота дискретизации | 48000 Гц (студия) |
| Ограничение амплитуды (clip) | включено |
| Режим перегрузки (overload) | включён |
Частота дискретизации
Для корректной работы ультразвуковой атаки частота дискретизации должна быть не менее чем в 2 раза выше частоты триггера (теорема Найквиста). Поэтому для высокочастотных триггеров используется значение 48000 Гц (студия).
JingleBack¶
Режим: Black-box | GPU: Нет | Сложность: Средняя
Использует короткие музыкальные джинглы в качестве бэкдор-триггеров. Мелодия звучит естественно для человека, но активирует бэкдор в ASR-модели. Использует аккордовые прогрессии с настраиваемым количеством повторений.
| Параметр | По умолчанию |
|---|---|
| Длительность ноты (с) | 0.30 |
| Фазовый сдвиг (phi) | 0.15 |
| Доля длительности | 0.40 |
| Нормализация | 0.30 |
| Повторения мелодии | 15 |
| Частота дискретизации | 22050 Гц |
PBSM — Periodic Backdoor Signal Modulation¶
Режим: Black-box | GPU: Нет | Сложность: Высокая
Периодическая инъекция акустических триггеров, разделённых паузами тишины. Создаёт ритмический паттерн бэкдора, более устойчивый к аудиопреобразованиям и предобработке.
| Параметр | По умолчанию |
|---|---|
| Частота (Гц) | 200 |
| Длительность (с) | 0.07 |
| Длительность паузы (с) | 0.03 |
| Циклы | 8 |
| Частота дискретизации | 16000 Гц (речь) |
| Ограничение амплитуды (clip) | включено |
| Режим перегрузки (overload) | включён |
BIM — Basic Iterative Method¶
Режим: White-box | GPU: Да | Сложность: Высокая
Единственная whitebox-атака в наборе ASR. Итеративно возмущает аудио с помощью градиентного спуска, чтобы заставить ASR-модель выдать заданную целевую транскрипцию. Использует локальную модель Whisper для вычисления градиентов.
| Параметр | По умолчанию |
|---|---|
| Целевая транскрипция (обязательная) | — |
| Epsilon (eps) | 0.01 |
| Alpha (шаг) | 0 |
| Итерации | 600 |
| Частота дискретизации | 16000 |
| Подробные логи | включены |
Требования BIM
BIM требует GPU и локальную модель Whisper. Параметр Целевая транскрипция обязателен — атака формирует возмущение, нацеленное именно на этот текст.
Внимание
Частота дискретизации для BIM должна быть 16000 — модели Whisper работают только с этой частотой дискретизации.
Сравнение атак¶
Выбор атаки зависит от цели тестирования, доступных ресурсов и типа исследуемой уязвимости:
| Атака | Лучше всего подходит для | GPU | Скрытность | Сложность настройки |
|---|---|---|---|---|
| DABA | Тестирование устойчивости к частотным бэкдорам. Универсальная атака для первого тестирования | Нет | Высокая | Низкая |
| PIBA | Тестирование устойчивости к манипуляции высотой тона. Адаптивная амплитуда делает триггер особенно скрытным | Нет | Очень высокая | Низкая |
| Ultrasonic | Тестирование уязвимости к инъекции неслышимых команд. Моделирует реальный вектор атаки (ультразвуковые команды через колонки) | Нет | Максимальная | Средняя |
| JingleBack | Тестирование распознавания мелодических паттернов. Триггер звучит как естественный музыкальный фон | Нет | Высокая | Низкая |
| PBSM | Тестирование устойчивости к периодическим сигналам. Ритмический паттерн устойчив к аудиопреобразованиям | Нет | Средняя | Средняя |
| BIM | Наиболее мощная атака: целенаправленное изменение транскрипции на произвольный текст. Требует GPU и локальную модель Whisper | Да | Высокая | Высокая |
Рекомендации по выбору¶
Первое тестирование (нет GPU): Начните с DABA — она проста в настройке, не требует GPU и даёт надёжные результаты. Если DABA не обнаруживает уязвимости, попробуйте PIBA (более скрытный триггер) или Ultrasonic (другой частотный диапазон).
Комплексное тестирование (нет GPU): Запустите все 5 black-box-атак (DABA, PIBA, Ultrasonic, JingleBack, PBSM) — они используют принципиально разные механизмы внедрения триггеров и тестируют различные аспекты устойчивости модели.
Максимальное покрытие (есть GPU): Добавьте BIM к набору black-box-атак. BIM — единственная атака, которая может заставить модель выдать конкретную целевую транскрипцию, что моделирует наиболее опасный сценарий атаки.
Бюджет времени
Если время ограничено, используйте DABA (~10 мин) + Ultrasonic (~12 мин) — эти две атаки покрывают частотный и ультразвуковой векторы примерно за 22 минуты.
Запуск и анализ результатов¶
- Создайте профиль сканирования с типом Аудио и нужными атаками (см. Профили сканирования).
- Загрузите аудиофайл в раздел Ассеты → Аудиофайлы или используйте встроенный (см. Управление ассетами).
- Запустите сканирование, выбрав модель, профиль и аудиофайл (см. Запуск сканирований).
- После завершения откройте результаты — модифицированные аудиофайлы и метрики атаки доступны во вкладках Уязвимости и Артефакты (см. Результаты сканирования).