AudioHijack: Como Comandos de Áudio Inaudíveis Estão Sequestrando Assistentes de Voz com IA

O que torna o AudioHijack diferente de ataques de áudio anteriores?

Ataques anteriores a assistentes de voz geralmente dependiam da ativação por palavra de despertar — tocar um "E aí, Google" ou "Alexa" gravado para acionar o assistente e, em seguida, emitir comandos maliciosos audíveis. O AudioHijack é muito mais perigoso porque mira nos LALMs generativos, que podem executar de forma autônoma ações complexas de várias etapas — enviar e-mails, acessar dados pessoais, controlar dispositivos de casa inteligente — sem qualquer frase de gatilho audível .

O verdadeiro salto técnico está em como o ataque contorna a tokenização de áudio do modelo. Os LALMs convertem o áudio bruto em tokens discretos, um processo que normalmente quebra a otimização baseada em gradiente, porque a etapa de discretização não é diferenciável. A estrutura do AudioHijack supera isso usando estimativa de gradiente baseada em amostragem, que aproxima o gradiente através do tokenizador caixa-preta, permitindo a geração de áudio adversarial de ponta a ponta, apesar do processo não diferenciável .

Como o ataque realmente funciona

O processo técnico tem várias etapas distintas:

Criação do áudio adversarial. O invasor começa com uma instrução alvo — por exemplo, "busque e baixe arquivos confidenciais". Um algoritmo de otimização modifica de forma inaudível uma forma de onda de áudio, testando repetidamente a resposta do modelo e refinando a onda até que o modelo execute o comando malicioso de forma confiável, enquanto o áudio ainda soa como um ruído de fundo normal para humanos .

Supervisão de atenção. O ataque direciona os mecanismos internos de atenção do modelo para o segmento de áudio adversarial. Isso garante que a instrução oculta domine o comportamento do modelo, mesmo quando uma fala legítima do usuário também está sendo processada .

Treinamento agnóstico ao contexto. Os pesquisadores treinam o áudio adversarial em muitos contextos de conversa diferentes — vários ruídos de fundo, comandos de usuário e cenários de interação. O resultado é um único sinal criado de 30 minutos que funciona independentemente do que o usuário está dizendo ou fazendo no momento do ataque .

Mistura natural. Um método de mistura convolucional modula a perturbação no que soa como uma reverberação natural de sala. Para o ouvido humano, é apenas um eco fraco ou tom ambiente; para o modelo de IA, é um conjunto de instruções prioritárias .

Por que é tão difícil se defender

O AudioHijack apresenta um desafio de defesa excepcionalmente difícil por várias razões.

Nenhuma interação do usuário é necessária. Diferente de phishing ou malware baseado em aplicativos, o usuário não clica em nada, não instala nada, nem concede permissão alguma. Simplesmente reproduzir um conteúdo de áudio próximo a um dispositivo equipado com IA é suficiente para acionar o ataque. Incorporar o sinal malicioso em um vídeo do YouTube, podcast, anúncio de áudio em streaming ou até mesmo uma chamada VoIP dá aos invasores uma vasta superfície de distribuição .

Furtividade que derrota a detecção humana. A perturbação adversarial é cuidadosamente moldada para ficar abaixo do limiar perceptivo. Os usuários não ouvem nada suspeito e não têm motivo para suspeitar que seu assistente foi dominado .

Reutilizável e persistente. O mesmo áudio adversarial funciona todas as vezes que é reproduzido. Ao contrário de explorações de software que são corrigidas assim que descobertas, um arquivo de áudio criado pode explorar uma vítima repetidamente, e a vulnerabilidade subjacente está na arquitetura fundamental do modelo, não em um bug de software que pode ser corrigido com um patch .

Ameaça independente de modelo. O AudioHijack foi testado com sucesso em 13 diferentes LALMs de última geração, sugerindo que a vulnerabilidade é endêmica à forma como esses modelos processam áudio, em vez de estar confinada a uma implementação específica .

Limitações das defesas atuais

Os pesquisadores observam que a única defesa eficaz demonstrada até agora é monitorar os mecanismos internos de atenção do modelo para detectar e interceptar a orientação de áudio malicioso. No entanto, os invasores podem se adaptar ajustando a força do direcionamento de atenção, reduzindo as taxas de detecção enquanto diminuem apenas modestamente o sucesso do ataque .

Isso cria uma dinâmica de gato e rato em que os defensores devem monitorar constantemente os estados internos do modelo — uma abordagem que é computacionalmente cara e potencialmente invasiva de privacidade se implantada em escala.
A implicação mais ampla é que o pipeline de entrada de áudio para assistentes de IA é fundamentalmente menos examinado do que as interfaces baseadas em texto. Embora a injeção de prompts via texto seja uma ameaça bem explorada, a mudança para modalidades de áudio abre uma superfície de ataque muito maior que a indústria está apenas começando a entender.