在AI技術(shù)日益滲透日常通信的背景下，電話詐騙手段也隨之升級(jí)。如今，詐騙者不再親自出馬，而是借助文本轉(zhuǎn)語(yǔ)音（TTS）與自動(dòng)語(yǔ)音識(shí)別（ASR）系統(tǒng)，批量撥打“釣魚電話”，騙取用戶隱私信息甚至財(cái)務(wù)數(shù)據(jù)。

根據(jù)CrowdStrike的《2025年全球威脅報(bào)告》，2024年下半年，全球“語(yǔ)音釣魚”（vishing）攻擊激增442%，讓執(zhí)法與安全機(jī)構(gòu)壓力倍增。

但這一趨勢(shì)或許正在被扭轉(zhuǎn)。以色列本古里安大學(xué)與印度阿姆利塔大學(xué)的研究人員聯(lián)合開發(fā)出一套名為“ASRJam”的語(yǔ)音識(shí)別防御系統(tǒng)，有望在源頭上瓦解AI詐騙鏈條。

直擊AI詐騙技術(shù)的軟肋

研究人員Freddie Grabovski、Gilad Gressel與Yisroel Mirsky在預(yù)印本論文《ASRJam: 一種面向人類友好的AI語(yǔ)音干擾機(jī)制》中指出，當(dāng)前AI語(yǔ)音詐騙鏈條中的“最薄弱環(huán)節(jié)”正是ASR——自動(dòng)語(yǔ)音識(shí)別系統(tǒng)。

詐騙流程通常是：AI撥打電話，用TTS模擬真人語(yǔ)音誘導(dǎo)受害者回應(yīng)；而后，ASR系統(tǒng)迅速將受害者的語(yǔ)音轉(zhuǎn)為文字，傳輸至后臺(tái)的語(yǔ)言模型進(jìn)行對(duì)話續(xù)寫。這一過程幾乎無(wú)需人類介入，卻足以完成一次自動(dòng)化社會(huì)工程攻擊。

ASRJam采用一種“主動(dòng)型對(duì)抗”策略：在不影響人類理解的前提下，實(shí)時(shí)擾亂ASR系統(tǒng)的識(shí)別精度，從而使詐騙AI“聽不懂”用戶的回應(yīng)，陷入邏輯崩潰。

ASRJam系統(tǒng)的核心算法名為EchoGuard。它通過三種方式微妙地?cái)_動(dòng)語(yǔ)音信號(hào)：

• 混響擾動(dòng)（Reverberation）——改變語(yǔ)音反射特性，模擬不同空間環(huán)境；
• 麥克風(fēng)震蕩（Microphone Oscillation）——制造麥克風(fēng)位置頻繁變化的錯(cuò)覺；
• 瞬時(shí)聲衰減（Transient Acoustic Attenuation）——對(duì)語(yǔ)音中的瞬時(shí)特征進(jìn)行壓縮或拉伸。

這些聲音變化不會(huì)影響人類的語(yǔ)義理解，卻會(huì)讓AI陷入困惑。研究者稱，這種方式在保持“語(yǔ)音自然性與舒適度”的同時(shí)，對(duì)ASR系統(tǒng)的干擾效果最佳，遠(yuǎn)勝此前提出的AdvDDoS、Kenku等方法。

對(duì)抗測(cè)試：擊敗幾乎所有主流ASR模型

研究團(tuán)隊(duì)在三大語(yǔ)音數(shù)據(jù)集（Tedlium、SPGISpeech、LibriSpeech）以及六款主流ASR模型（包括DeepSpeech、Wav2Vec2、Vosk、IBM Watson、Whisper等）上進(jìn)行了評(píng)估。

結(jié)果顯示：EchoGuard在幾乎所有數(shù)據(jù)與模型組合中均取得了最高干擾成功率。唯一例外是SpeechBrain系統(tǒng)，在個(gè)別場(chǎng)景下略遜于其他算法，但研究人員表示該系統(tǒng)在現(xiàn)實(shí)應(yīng)用中較為少見，影響有限。

需要特別指出的是，即便在被普遍認(rèn)為抗干擾能力最強(qiáng)的OpenAI Whisper模型面前，EchoGuard仍表現(xiàn)出色。雖然成功率略低（在LibriSpeech數(shù)據(jù)集上為0.14），但這已足以使每六次轉(zhuǎn)錄中就有一次嚴(yán)重錯(cuò)誤，從而在關(guān)鍵對(duì)話中“扯亂AI劇本”。

首個(gè)可實(shí)際部署的ASR防御工具

研究人員表示，與過去提出的語(yǔ)音干擾方法相比，ASRJam具備真正的可用性和用戶友好性：

• 實(shí)時(shí)運(yùn)行：可在用戶終端本地運(yùn)行，不依賴云端；
• 對(duì)攻擊者不可見：不會(huì)暴露給詐騙方，無(wú)從繞過；
• 零查詢?cè)O(shè)計(jì)：無(wú)需事先獲取ASR模型的輸出樣本，即可生成有效擾動(dòng)。

他們還搭建了公開網(wǎng)站，展示原始語(yǔ)音樣本與各種算法處理后的對(duì)比效果，讓公眾直觀感受EchoGuard的“隱形攻擊”能力。

展望：下一代通信安全的主動(dòng)防御思路

ASRJam目前仍處于研究階段，但Grabovski表示，團(tuán)隊(duì)正積極推進(jìn)其商業(yè)化進(jìn)程。他相信未來(lái)版本將進(jìn)一步提升對(duì)Whisper等高魯棒性模型的干擾能力。

與此同時(shí)，美國(guó)聯(lián)邦通信委員會(huì)已于2024年明確規(guī)定，使用AI生成語(yǔ)音從事電話通信行為屬違法行為。但在技術(shù)手段落地前，監(jiān)管仍有死角，主動(dòng)型防御方案如ASRJam的意義愈加凸顯。

在AI技術(shù)越來(lái)越能夠“裝人說(shuō)話”的當(dāng)下，人類或許需要依靠“干擾AI的AI”來(lái)守護(hù)通信安全。這正是ASRJam為我們帶來(lái)的啟示：下一代安全，不是靠封堵通道，而是“讓AI變成聾子和瞎子”。

論文鏈接：

https://arxiv.org/abs/2506.11125