Перейти к содержанию

ASR-атаки (аудио)

AppSec.GenAI реализует 6 типов состязательных атак на модели автоматического распознавания речи (ASR — Automatic Speech Recognition). Атаки внедряют в аудиосигнал скрытые триггеры или целенаправленные возмущения, которые не воспринимаются человеком, но приводят к ошибочному распознаванию моделью.


Обзор

Атаки доступны при создании профиля сканирования с типом Аудио. На странице Классификация атак → Аудио их можно просмотреть в виде карточек.

Характеристика Значение
Модальность Аудио (распознавание речи)
Количество атак 6
Типы доступа Black-box (5), White-box (1 — BIM)
GPU Требуется только для BIM
Время выполнения 8--30 минут

Типы доступа

Тип Описание
Black-box Используется только результат распознавания модели (без градиентов)
White-box Требуется доступ к градиентам локальной модели (только BIM)

Классификация по принципу действия

Тип Описание Атаки
Backdoor-инъекции Внедрение скрытых акустических триггеров в аудиосигнал DABA, PIBA, Ultrasonic, JingleBack, PBSM
Градиентные атаки Целенаправленное возмущение аудио для получения заданной транскрипции BIM

Сводная таблица атак

Атака Тип доступа GPU Сложность Время (мин) Краткое описание
DABA (Dual Adaptive Backdoor Attack) Black-box Нет Высокая 10 Многоцикловая инъекция акустического триггера
PIBA (Pitch-based Backdoor Attack) Black-box Нет Средняя 8 Триггер с адаптацией амплитуды по перцентилю
Ultrasonic Attack Black-box Нет Высокая 12 Команды на неслышимых ультразвуковых частотах
JingleBack Black-box Нет Средняя 15 Музыкальный джингл как бэкдор-триггер
PBSM (Periodic Backdoor Signal Modulation) Black-box Нет Высокая 10 Периодические триггеры, разделённые паузами
BIM (Basic Iterative Method) White-box Да Высокая 30 Градиентная атака для заданной транскрипции

Общие параметры

Большинство ASR-атак (кроме BIM) содержат общие параметры управления триггером:

Параметр Описание
Частота дискретизации Частота дискретизации аудио (выпадающий список с метками, например 16000 Гц (речь), 22050 Гц, 48000 Гц (студия))
Ограничение амплитуды (clip) Ограничение амплитуды для предотвращения переполнения сигнала
Режим перегрузки (overload) включён — замена участка аудио триггером, выключен — наложение триггера на оригинал

Аудиофайл для атаки выбирается не в профиле, а при запуске сканирования — на шаге Параметры диалога «Новое сканирование» (см. Запуск сканирований).


Параметры атак

Ниже приведены параметры каждой атаки с их значениями по умолчанию в интерфейсе.

DABA — Dual Adaptive Backdoor Attack

Режим: Black-box | GPU: Нет | Сложность: Высокая

Выполняет многоцикловую инъекцию акустического триггера в случайные позиции аудиозаписи. Каждый цикл добавляет один и тот же триггер в разные места, что делает бэкдор более робастным и труднообнаруживаемым по сравнению с однократной инъекцией.

Параметр По умолчанию
Частота (Гц) 150
Длительность (с) 0.08
Циклы 7
Частота дискретизации 16000 Гц (речь)
Ограничение амплитуды (clip) включено
Режим перегрузки (overload) включён

Совет

Увеличение параметра Циклы до 7--10 повышает робастность триггера, но может сделать его заметнее для человека. Оптимальный баланс — 5--7 циклов.

PIBA — Pitch-based Backdoor Attack

Режим: Black-box | GPU: Нет | Сложность: Средняя

Использует перцентиль амплитуды оригинального аудио для масштабирования триггера. Амплитуда триггера адаптируется к громкости записи, что делает его более скрытным.

Параметр По умолчанию
Частота (Гц) 180
Длительность (с) 0.06
Персентиль 0.30
Частота дискретизации 16000 Гц (речь)
Ограничение амплитуды (clip) включено
Режим перегрузки (overload) включён

Примечание

Низкие значения параметра Персентиль (0.1--0.3) обеспечивают максимальную скрытность, но могут снизить эффективность атаки. Рекомендуемый диапазон — 0.2--0.4.

Ultrasonic Attack

Режим: Black-box | GPU: Нет | Сложность: Высокая

Внедряет команды на ультразвуковых частотах, неслышимых для человека, но распознаваемых ASR-моделями после понижения частоты дискретизации (downsampling).

Параметр По умолчанию
Частота (Гц) 40000
Длительность (с) 0.15
Частота дискретизации 48000 Гц (студия)
Ограничение амплитуды (clip) включено
Режим перегрузки (overload) включён

Частота дискретизации

Для корректной работы ультразвуковой атаки частота дискретизации должна быть не менее чем в 2 раза выше частоты триггера (теорема Найквиста). Поэтому для высокочастотных триггеров используется значение 48000 Гц (студия).

JingleBack

Режим: Black-box | GPU: Нет | Сложность: Средняя

Использует короткие музыкальные джинглы в качестве бэкдор-триггеров. Мелодия звучит естественно для человека, но активирует бэкдор в ASR-модели. Использует аккордовые прогрессии с настраиваемым количеством повторений.

Параметр По умолчанию
Длительность ноты (с) 0.30
Фазовый сдвиг (phi) 0.15
Доля длительности 0.40
Нормализация 0.30
Повторения мелодии 15
Частота дискретизации 22050 Гц

PBSM — Periodic Backdoor Signal Modulation

Режим: Black-box | GPU: Нет | Сложность: Высокая

Периодическая инъекция акустических триггеров, разделённых паузами тишины. Создаёт ритмический паттерн бэкдора, более устойчивый к аудиопреобразованиям и предобработке.

Параметр По умолчанию
Частота (Гц) 200
Длительность (с) 0.07
Длительность паузы (с) 0.03
Циклы 8
Частота дискретизации 16000 Гц (речь)
Ограничение амплитуды (clip) включено
Режим перегрузки (overload) включён

BIM — Basic Iterative Method

Режим: White-box | GPU: Да | Сложность: Высокая

Единственная whitebox-атака в наборе ASR. Итеративно возмущает аудио с помощью градиентного спуска, чтобы заставить ASR-модель выдать заданную целевую транскрипцию. Использует локальную модель Whisper для вычисления градиентов.

Параметр По умолчанию
Целевая транскрипция (обязательная)
Epsilon (eps) 0.01
Alpha (шаг) 0
Итерации 600
Частота дискретизации 16000
Подробные логи включены

Требования BIM

BIM требует GPU и локальную модель Whisper. Параметр Целевая транскрипция обязателен — атака формирует возмущение, нацеленное именно на этот текст.

Внимание

Частота дискретизации для BIM должна быть 16000 — модели Whisper работают только с этой частотой дискретизации.


Сравнение атак

Выбор атаки зависит от цели тестирования, доступных ресурсов и типа исследуемой уязвимости:

Атака Лучше всего подходит для GPU Скрытность Сложность настройки
DABA Тестирование устойчивости к частотным бэкдорам. Универсальная атака для первого тестирования Нет Высокая Низкая
PIBA Тестирование устойчивости к манипуляции высотой тона. Адаптивная амплитуда делает триггер особенно скрытным Нет Очень высокая Низкая
Ultrasonic Тестирование уязвимости к инъекции неслышимых команд. Моделирует реальный вектор атаки (ультразвуковые команды через колонки) Нет Максимальная Средняя
JingleBack Тестирование распознавания мелодических паттернов. Триггер звучит как естественный музыкальный фон Нет Высокая Низкая
PBSM Тестирование устойчивости к периодическим сигналам. Ритмический паттерн устойчив к аудиопреобразованиям Нет Средняя Средняя
BIM Наиболее мощная атака: целенаправленное изменение транскрипции на произвольный текст. Требует GPU и локальную модель Whisper Да Высокая Высокая

Рекомендации по выбору

Первое тестирование (нет GPU): Начните с DABA — она проста в настройке, не требует GPU и даёт надёжные результаты. Если DABA не обнаруживает уязвимости, попробуйте PIBA (более скрытный триггер) или Ultrasonic (другой частотный диапазон).

Комплексное тестирование (нет GPU): Запустите все 5 black-box-атак (DABA, PIBA, Ultrasonic, JingleBack, PBSM) — они используют принципиально разные механизмы внедрения триггеров и тестируют различные аспекты устойчивости модели.

Максимальное покрытие (есть GPU): Добавьте BIM к набору black-box-атак. BIM — единственная атака, которая может заставить модель выдать конкретную целевую транскрипцию, что моделирует наиболее опасный сценарий атаки.

Бюджет времени

Если время ограничено, используйте DABA (~10 мин) + Ultrasonic (~12 мин) — эти две атаки покрывают частотный и ультразвуковой векторы примерно за 22 минуты.


Запуск и анализ результатов

  1. Создайте профиль сканирования с типом Аудио и нужными атаками (см. Профили сканирования).
  2. Загрузите аудиофайл в раздел Ассеты → Аудиофайлы или используйте встроенный (см. Управление ассетами).
  3. Запустите сканирование, выбрав модель, профиль и аудиофайл (см. Запуск сканирований).
  4. После завершения откройте результаты — модифицированные аудиофайлы и метрики атаки доступны во вкладках Уязвимости и Артефакты (см. Результаты сканирования).