对于一个完全不知内部信息的IVC设备,我们如何对他进行黑盒攻击呢?
此文提出了替代模型的思路,通过构建替代模型来逼近目标的黑盒模型,从而通过替代模型来构建目标模型的对抗样例。
本文的创新点就是更高级但与目标无关的白盒模型来增强近似于ASR系统目标模型的简单局部模型
样本需要直接作为输入进入模型,那么其威胁性是有限的。例如本文中的音频样本,只能直接以 WAV 格式交给模型,才能有攻击效果;如果用播放器播放再用麦克收音,攻击就完全失效了——不只是从定向攻击退化成非定向攻击,而是完全没有攻击效果。
语音攻击的样本就可以在不知不觉中唤醒你的语音助手然后进行特定的操作。去年浙江大学的《DolphinAttack: Inaudible Voice Commands》,就利用了谐波以及麦克风和人耳接受声音频率的范围不同,实现在人感知不到的情形下通过麦克风唤醒 Siri、Google Assistant 和 Alexa 等系统并执行相应语音命令的操作。当然,考虑到这类攻击必须利用专业设备、设备距离麦克风不超过 1.5 米,以及供应商可以在系统端通过设置允许频率范围进行防御等等特点,这类攻击真实的「威胁性」并没有那么高,但是它确实是可以进入现实场景的攻击。