Ученые нашли способ обойти защиту голосовой идентификации

По данным Helpnetsecurity, исследователи из университета штата Техас выявили уязвимость в популярных методах защиты голосовой идентификации. Подавляющее большинство систем защиты голоса основано на добавлении незаметного шума к записям, что затрудняет процесс клонирования голоса. Однако новое исследование показало, что защиту можно обойти, удалив этот шум и восстановив оригинальную идентичность говорящего.

Принцип действия защитных систем и их слабое место

Системы защиты голоса, такие как VocalBridge, работают на предположении, что защищённая аудиозапись не будет модифицирована после её создания. На практике, однако, такие файлы часто попадают в открытые источники, где их можно изменить. Учёные показали, что даже защищённая запись может быть очищена от шума и использована для создания поддельного голоса, способного пройти автоматическую верификацию.

Интересно: Методы защиты голоса включают добавление минимального количества шума, который остаётся незаметным для человека, но мешает алгоритмам определить, кто говорит. Однако, как демонстрирует исследование, этот шум можно удалить, восстановив при этом естественные черты голоса.

Как VocalBridge удаляет шум и восстанавливает идентичность

Система VocalBridge не направлена на улучшение качества распознавания речи, как предыдущие инструменты. Вместо этого она фокусируется на восстановлении голосовой идентичности. В отличие от традиционных методов, VocalBridge работает с сжатым представлением аудио, а не с исходными звуковыми волнами. Это позволяет системе постепенно удалять шум, сохраняя при этом естественные особенности голоса.

Тестирование показало, что VocalBridge может восстановить голосовую идентичность в 28–45% случаев, в зависимости от используемой системы верификации. В некоторых конфигурациях уровень восстановления превышал 60%. Это означает, что защита, которая изначально должна была блокировать подделку голоса, может быть обойдена.

Устойчивость к адаптивным защитным мерам

Исследователи также протестировали сценарий, в котором система защиты пытается адаптироваться к VocalBridge. Даже при наличии информации о методе очистки, защита не смогла эффективно предотвратить восстановление голоса. В некоторых случаях более 75% очищенных записей прошли проверку, а уровень восстановления идентичности оставался выше 20%.

Это указывает на то, что уязвимость не связана с конкретной системой защиты, а является следствием общей стратегии, используемой в большинстве решений. Атакующий может обучить модель типа VocalBridge на любом наборе голосовых данных, что делает угрозу масштабной и трудноконтролируемой.

Интересно: Сможет ли следующее поколение голосовых систем защиты учесть угрозу, исходящую от методов вроде VocalBridge, и перейти к более устойчивым архитектурам, которые не зависят от добавления шума?

Когда защита становится слабым местом: уязвимость голосовых систем

Защита голоса как игра с риском

Современные системы голосовой идентификации опираются на принцип маскировки. Они добавляют минимальный уровень шума к аудиозаписям, чтобы усложнить процесс клонирования голоса. Такой подход кажется логичным — шум, незаметный для человека, должен быть достаточен, чтобы сбить алгоритмы. Но, как показало недавнее исследование из университета штата Техас, это предположение ошибочно. Учёные продемонстрировали, что защиту можно обойти, удалив шум и восстановив голосовую идентичность.

Ключевой момент здесь в том, что защита голоса основана на односторонней надежности — она рассчитана на то, что запись останется неизменной. Но в реальности аудиофайлы часто попадают в открытый доступ, где их можно обработать. Система VocalBridge, разработанная исследователями, не просто удаляет шум — она восстанавливает естественные черты голоса, что делает подделку возможной даже в условиях, где защита считалась надёжной.

Важный нюанс: Защита голоса, основанная на шуме, может быть восстановлена, потому что она не меняет суть голоса — она лишь маскирует её. Это делает такие методы уязвимыми к адаптивным атакам.

i

Создано специально для ASECTOR

Концептуальное изображение

Восстановление идентичности: как это работает

VocalBridge — это не просто инструмент для аудио очистки. Это модель, которая обучается на голосовых данных. Значит, её можно адаптировать под любую систему защиты, которая использует шум для маскировки голоса. Это делает угрозу масштабной и, что хуже, непредсказуемой. Если атакующий имеет доступ к данным, он может обучить модель и обойти защиту, даже если она адаптируется.

Адаптивные защиты и их ограничения

Исследователи протестировали, насколько системы защиты могут адаптироваться к VocalBridge. Даже при наличии информации о методе очистки, защита не смогла эффективно предотвратить восстановление голоса. В некоторых случаях более 75% очищенных записей прошли проверку. Это означает, что уязвимость не в конкретной системе — она в самой стратегии защиты.

Системы голосовой идентификации, как правило, не меняют структуру голоса, а лишь маскируют её. Но если маскару можно снять, то и сама защита теряет смысл. Это как если бы вы закрыли дверь решёткой, а потом обнаружили, что решётку можно просто убрать, не трогая дверь. Угроза исходит не от конкретной системы, а от общей архитектуры, которая основана на предположении о стабильности данных.

Важный нюанс: Если защита не меняет суть голоса, а лишь маскирует её, то любая модель, способная снять маску, становится угрозой. VocalBridge — это не исключение, а пример масштабной проблемы.

Угрозы масштабируются: ИИ и новые методы атак

Современные угрозы не ограничиваются только голосовыми системами. Искусственный интеллект уже используется для автоматизации кибератак, поиска уязвимостей и создания эксплойтов. Например, AI-агент ARTEMIS обнаружил девять уязвимостей в корпоративной сети за 10 часов с 82% точностью, что превзошло большинство профессиональных хакеров [!]. При этом стоимость его работы оказалась существенно ниже, чем найм специалиста. Это демонстрирует, что злоумышленники получают мощные инструменты, которым трудно противостоять традиционными методами.

Дополнительные угрозы исходят из смарт-контрактов. Модели вроде Claude Opus 4.5 и GPT-5 могут находить уязвимости в блокчейн-контрактах и создавать прибыльные атаки, при этом затраты на тестирование остаются низкими [!]. Это ставит под сомнение эффективность текущих методов защиты, особенно если учесть, что атакующие действуют быстро и масштабно.

В Китае уже реализована первая в истории кибератака, полностью организованная искусственным интеллектом без участия человека. Группа GTG-1002 использовала ИИ для автоматизации сложных многоэтапных операций, включая сканирование уязвимостей и написание кода для эксплуатации [!]. Такой подход делает атаки трудно распознаваемыми и быстрыми, что требует пересмотра традиционных методов киберзащиты.

Генеративный ИИ и биометрия: новые вызовы

Генеративный искусственный интеллект также представляет угрозу для биометрической аутентификации. Он используется для создания дипфейков, которые могут обойти системы распознавания голоса, лица и других биометрических признаков. В ответ, компании внедряют системы анализа поведения и геолокации для выявления аномалий в реальном времени [!]. Это позволяет повысить уровень защиты, но не делает её полностью безопасной.

Что дальше?

Текущие системы голосовой идентификации, основанные на добавлении шума, демонстрируют системную уязвимость. Это не просто техническая слабость — это вопрос подхода. В будущем, возможно, защита будет строиться на изменении голоса, а не его маскировке. Но пока такие архитектуры остаются редкостью, риски остаются высокими.

Для российского бизнеса, где голосовая идентификация используется в банковской сфере, телекоммуникациях и других отраслях, это особенно важно. Угроза не в том, что защиту можно обойти — угроза в том, что маскируемый голос может стать входной точкой для более масштабных атак.