Investigadores descubren un ataque acústico capaz de enviar órdenes ocultas a asistentes de inteligencia artificial sin que los usuarios puedan detectarlo
Un grupo de investigadores de la Universidad de Zhejiang, en China, en colaboración con especialistas de Singapur, presentó una nueva vulnerabilidad informática denominada AudioHijack, una técnica que permite manipular sistemas de inteligencia artificial mediante señales de audio ocultas e imperceptibles para el oído humano.
El hallazgo ha generado preocupación entre expertos en ciberseguridad debido a que el ataque puede transmitir instrucciones maliciosas a asistentes virtuales y modelos de inteligencia artificial que procesan comandos de voz, sin que los usuarios detecten la intervención.
De acuerdo con los resultados expuestos durante el Simposio de Seguridad y Privacidad del IEEE, AudioHijack logró una tasa de éxito de entre 79 y 96 por ciento al manipular Grandes Modelos de Audio-Lenguaje (LALM), una nueva generación de sistemas de inteligencia artificial capaces de interpretar y responder a instrucciones habladas.
A diferencia de los ataques tradicionales conocidos como “inyección de prompts”, que buscan engañar a la inteligencia artificial mediante texto oculto, AudioHijack opera directamente sobre las ondas sonoras digitales.
Los investigadores descubrieron que es posible modificar determinados parámetros de una señal de audio para insertar comandos invisibles para las personas, pero perfectamente comprensibles para los sistemas de reconocimiento de voz utilizados por plataformas como asistentes virtuales, chatbots y otras herramientas impulsadas por inteligencia artificial.
En un escenario práctico, una persona podría estar escuchando un podcast, un video o cualquier contenido multimedia aparentemente inofensivo, mientras la inteligencia artificial instalada en su dispositivo recibe instrucciones ocultas para ejecutar acciones no autorizadas.
Entre las operaciones que podría realizar una IA comprometida se encuentran el envío de información privada por correo electrónico, la realización de búsquedas sensibles en internet, la descarga de archivos maliciosos o incluso la difusión de contenido falso y desinformación.
Uno de los aspectos que más preocupa a la comunidad tecnológica es que la señal utilizada por AudioHijack es independiente del contexto de la conversación. Según
explicó el investigador principal Meng Chen, una vez entrenada la señal maliciosa, el ataque puede funcionar sin importar lo que el usuario esté diciendo o haciendo en ese momento.
Los especialistas señalaron que el proceso de preparación de la señal puede completarse en aproximadamente 30 minutos y posteriormente utilizarse contra distintos modelos de inteligencia artificial.
Durante las pruebas, los investigadores evaluaron la técnica en 13 modelos de chatbots y confirmaron su efectividad incluso en sistemas comerciales ampliamente utilizados. Además, determinaron que el ataque puede adaptarse a diferentes arquitecturas de inteligencia artificial al dirigirse a componentes comunes de procesamiento de audio.
El estudio advierte que esta vulnerabilidad adquiere mayor relevancia conforme los usuarios delegan más tareas a agentes inteligentes con acceso a correos electrónicos, documentos, aplicaciones, servicios en línea y datos personales.
Expertos en ciberseguridad consideran que la detección de este tipo de amenazas representa uno de los mayores desafíos para la industria tecnológica, ya que las manipulaciones sonoras empleadas por AudioHijack resultan prácticamente imperceptibles para el oído humano.
Mientras que los comandos ocultos en texto pueden ser identificados mediante auditorías y filtros de seguridad, las señales acústicas maliciosas continúan siendo un problema complejo y aún sin una solución definitiva.
El descubrimiento de AudioHijack abre un nuevo debate sobre la seguridad de los sistemas de inteligencia artificial basados en voz y la necesidad de desarrollar mecanismos de protección capaces de identificar órdenes ocultas antes de que puedan ser ejecutadas por asistentes digitales y modelos avanzados de IA.
