Sirens' Whisper: Inaudible Near-Ultrasonic Jailbreaks of Speech-Driven LLMs:基于近超声的语音大模型越狱攻击
该研究提出SWhisper,首个针对语音驱动大语言模型的近超声越狱攻击方法。通过将恶意提示编码到近超声载波中,利用麦克风非线性解调为可听语音,实现人耳不可感知但被语音识别系统准确转录并传递给LLM。在黑盒评估中,对DeepSeek、Grok等商业平台达到0.94非拒绝率和0.925特定说服分数,暴露了语音LLM系统的关键漏洞。
发展脉络
- 首次出现Sirens' Whisper: Inaudible Near-Ultrasonic Jailbreaks of Speech-Driven LLMs:基于近超声的语音大模型越狱攻击arXiv cs.AI
- 当前判断该攻击直接威胁智能音箱、车载语音助手、智能手机等语音交互设备的安全。随着LLM在语音接口中的普及,传统文本级防御失效,需引入音频级检测和抗干扰机制。对语音识别和LLM服务提供商而言,必须重新评估声学前端的安全风险,可能推动硬件级非线性滤波或软件级对抗训练等防御方案。Agent Pulse · 分析
SWhisper是一种创新的近超声越狱攻击,利用麦克风非线性将恶意提示调制到人耳不可闻的超声频段,实现语音LLM的隐蔽攻击。该方法通过解耦音频与语义、约束优化生成紧凑鲁棒的对抗后缀,并补偿设备非线性。实验表明,攻击在商业平台上成功率极高,凸显了超越文本防御、加强音频层安全的必要性。
SWhisper的核心机制包括:1)将恶意提示通过文本到语音合成后,采用单边带幅度调制(SSB-AM)搬移到17kHz以上近超声频段;2)利用麦克风非线性失真产生可听互调分量,使语音识别系统误认为是正常语音;3)通过约束优化生成语义流畅、模型无关的对抗后缀,并补偿信道非线性(如iPhone 14 Pro预计算矩阵)。评估使用非拒绝率和特定说服分数,在真实设备上验证了攻击有效性。
该攻击直接威胁智能音箱、车载语音助手、智能手机等语音交互设备的安全。随着LLM在语音接口中的普及,传统文本级防御失效,需引入音频级检测和抗干扰机制。对语音识别和LLM服务提供商而言,必须重新评估声学前端的安全风险,可能推动硬件级非线性滤波或软件级对抗训练等防御方案。
建议语音交互产品团队立即评估现有系统的超声攻击面,在麦克风前端增加带通滤波或非线性检测模块。与安全厂商合作开发音频对抗样本检测工具,并在LLM输入管道中集成音频异常检测。对于智能音箱和车载系统,考虑硬件升级以抑制非线性失真。
未来验证信号包括:1)在更多设备(如不同品牌手机、智能音箱)上复现攻击;2)测试防御措施如超声滤波、非线性检测、输入验证的有效性;3)探索攻击的物理距离和背景噪声鲁棒性;4)研究针对不同语音识别引擎和LLM的迁移性。