针对Whisper模型的静音攻击方法主要针对基于Transformer的自动语音识别系统,特别是Whisper系列模型。其有效性主要基于Whisper模型使用了一些“特殊标记”来指导语言生成过程,如标记表示转录结束。我们可以通过在目标语音信号前添加一个通用短音频段,模拟标记的声学实现,从而成功“静音”Whisper模型。
1、针对Whisper模型的静音攻击步骤
- 确定攻击目标:攻击的目标是使Whisper模型在解码时忽略语音内容,只转录特殊标记,从而生成空白的转录结果。
- 构建损失函数:定义损失函数来最大化模型生成标记的概率,即最大化P(y1=|x, y0)。
- 生成对抗样本:利用梯度下降法来优化这个损失函数,学习一个长度为0.64秒的对抗音频段x’,这个音频段将作为对抗样本。
- 前置到语音信号:将学习得到的对抗音频段x’前置到任意语音信号x之前,形成新的输入信号x’⊕x。
- 攻击效果:当Whisper模型处理这个新的输入信号时,由于对抗音频段的影响,模型会生成标记作为第一个输出,从而忽略了后续的语音内容,实现静音攻击。
- 优化和约束:为了确保对抗音频段对人耳不可感知,需要对音频段的长度和幅度进行限制,如限制音频段长度为0.64秒,幅度不超过0.02(在log mel谱上)
2、不同环境下的攻击效果
- 同域数据集:在相同的数据域下,即使用LibriSpeech数据集进行训练和测试,攻击成功率超过97%。
- 跨域数据集:在不同域的数据集上,攻击的成功率略有下降,但在多个不同的数据集上(TED-LIUM、MGB和Artie Bias)仍可达到90%以上。
- 跨任务测试:将训练好的对抗样本应用于语音翻译任务,发现对于小模型(如Whisper tiny)的攻击成功率仍然很高(94%以上),但大模型(如Whisper base和small)的攻击成功率明显下降。
- 语言距离:对于源语言与英语距离较远的语言(如德语和俄语),攻击的成功率更低。这表明对抗样本的通用性在一定程度上受到语言距离的影响。
3、防御措施
- 检测对抗样本:在语音识别系统中引入对抗样本检测机制,使用特征工程或机器学习方法检测对抗样本,从而阻止其影响系统的正常工作。
- 增加语音验证:在语音识别前,增加语音验证步骤,让用户确认识别结果是否准确,以确保对抗样本被检测出来。
- 模型和算法更新:定期更新语音识别系统的模型和算法,以增强其抵御对抗样本的能力。可以利用最新的安全措施,提高系统的防御能力。
- 融合多个模型:在语音识别系统中融合多个不同的模型,通过模型之间的比较和验证,减少对抗样本的影响。
- 增加语音处理步骤:在语音识别前,增加语音去噪、回声消除等处理步骤,以消除对抗样本中的异常噪声和干扰。
- 使用安全的语音传输协议:采用安全的语音传输协议,如SRTP,以加密语音数据,确保语音传输的安全性。
- 采用安全的语音存储机制:在语音存储过程中,采用安全的存储机制,如加密和访问控制,以确保语音数据的安全性。
)
)
)