你能信任智能虛擬助理嗎？

從惡意的黑客到意外的語音記錄，通過虛擬助理處理的數據可能會讓你面臨安全和隱私風險

CTI論壇(ctiforum.com)（編譯/老秦）:你曾與Siri、Alexa或Cortana打過交道嗎？這些都開始於面向消費者的虛擬個人助理（VPA），用於大多數智能手機和像聲控電視遙控器這樣的產品。但是，到最近為止，VPAs正在演變為智能虛擬助理（IVA），用於商業應用。一些通信供應商現在使用IVAs來支持業務功能，比如安排會議和電話會議。

你知道嗎，有了這樣的數字助手，你的語音數據就會被發送到雲或另一個遠程位置進行處理？在你的電視遙控器前講話安全嗎？要求Alexa開始你的會議，你是否正在把你的商業數據置於危險之中？

智能虛擬助理

IVA是一個使用人工智慧（AI）的系統，它模擬人的交互來完成任務。由於神經網路、機器學習以及人工智慧等技術的進步，IVAs正在快速發展。智能技術允許IVAs學習、推理和理解，執行像客戶服務座席這樣的任務來解決客戶的問題。

實際上，在多個垂直市場中，IVAs被用於各種應用程序。他們通過為聯網的家庭和車輛提供一個直觀的界面來幫助消費者完成任務。

　　生態系統

IVA生態系統由三個主要部分組成。在遠程雲位置，調用處理中心對文本和/或語音命令進行分析和響應，並執行請求的操作。在用戶端，有一個終端設備，如AmazonEcho或帶有Cortana的PC。這些設備安裝了與IVA通信的嵌入式應用程序。

用戶的請求以文本或聲音的形式提交給IVA，或者以聊天格式提交，並存儲在雲中。IVA對話可以通過應用程序和用戶的設備訪問。這就產生了一種隱私風險，因為語音記錄可能提供個人身份識別信息，或者未經授權的實體可以使用這些數據來識別用戶。

IVA軟體可以集成到物聯網設備中。許多IVAs允許第三方供應商鏈接他們的設備和服務，擴展IVA的特性和技能。例如，Alexa技能商店包含超過10，000個語音激活應用程序。

　安全與IVAs

我確信會有創造性的黑客開發惡意軟體，為IVAs的隱私和安全攻擊提供機會。最近發生的一些事件突顯了與IVAs相關的重大安全和隱私風險。由於IVAs還在不斷成熟，預計會有更多的這些風險浮出水面，並且隨著時間的推移會發生更富有想像力的攻擊。

一篇題為「Alexa我可以信任你嗎？」的NIST文章，指出了四個可能的安全/隱私漏洞場景，如下圖所示。

圖片來自NIST的文章「Alexa，我能信任你嗎？」

竊聽

Packet sniffing是網路診斷系統的一部分。它可以應用於捕獲來自IVA的通信。可以分析請求和響應，以確定使用了哪些APIs。

正如文章指出的那樣，並不是所有的網路通信都是通過安全連接傳輸的。有些人使用未加密的連接來檢查網路的傳輸率，這使得檢測IVA設備成為可能。儘管IVA通信可能是加密的，但是有機器學習技術可以對流量進行分類，並報告有效載荷大小、數據率和其他模式。加密的流量可以用來識別設備的狀態。

　　妥協於終端設備（物聯網）

我曾經發表過關於物聯網（IoT）安全的博客--「爭取安全的物聯網」和「剝離物聯網互操作層」。

需要注意的是，IVA設備可以像任何其他端點一樣被破壞。你甚至可以體驗到拒絕服務的攻擊。網路攝像頭和DVRs可以被惡意軟體感染。終端設備可以被命令設置成為一直在聽的狀態，這就像已經在許多聯網的嬰兒監視器上所做的那樣。你的協作系統怎麼樣？他們正處於危險之中嗎？

　　惡意的語音命令

由於IVAs處理語音命令，攻擊者可以模擬用戶並發出惡意的語音命令。它可以打開一扇智能門，啟動一輛汽車，甚至可以在沒有用戶信息的情況下在線訂購商品。一些IVAs提供了一個語音訓練功能，以防止這種模擬。如果模仿是高質量的，那麼IVA可能無法區分真假。

　　意想不到的錄音

在IVA裝置範圍內說話的人可能被錄音。這可能是偶然的，但是這個人說的話仍然會被傳送到雲上，這使其他各方（包括合法訪問存儲數據的人以及黑客）入侵資料庫。他們可以偷聽私人談話。非預期錄音的潛在影響是意味著你不能完全控制你的語音數據。我們的協作網路會被破壞嗎？

我們已經了解到，當我們在IP網路中引入新設備時，他們通常沒有把安全性作為他們的主要設計目標。Internet從來沒有被設計成一個真正安全的網路環境，所以安全是留給端點的。安全性通常是一個附加組件，在發生了一些突出安全性問題的事件之後才採用的。似乎那些構建端點和生產軟體的人需要在他們的設計和開發中提升安全性保護措施。

　　聲明:版權所有 非合作媒體謝絕轉載

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！