StartseiteLBank Newscenter
Studie belegt: Unhörbare Audioangriffe können KI-Sprachmodelle kapern
inaudible-audio-attacks-hijack-ai-voice-models
Studie belegt: Unhörbare Audioangriffe können KI-Sprachmodelle kapern
Es gelang Forschern, versteckte Signale in Audioclips einzubetten, die unbemerkt das Verhalten von KI-Modellen kapern.
2026-05-26 Quelle:decrypt.co
KI-Sicherheit

Kurz gesagt

  • Forscher der Zhejiang Universität entwickelten AudioHijack, das unmerkliche Befehle in Audio versteckt, um große Audio-Sprachmodelle mit einer Erfolgsrate von 79–96% zu manipulieren.
  • Der Angriff übertrug sich von offenen Modellen auf kommerzielle Sprach-KI von Microsoft und Mistral; die meisten Standardverteidigungen stoppten nur einen kleinen Teil der Versuche.
  • Das Team untersucht derzeit, ob die Technik geschlossene Modelle von OpenAI und Anthropic über geteilte Open-Source-Audiokomponenten erreichen kann.

Universitätsforscher in China haben einen Weg gefunden, das Verhalten von KI-Sprachmodellen zu verändern, indem sie versteckte Befehle in Audio-Clips einbetten, die für Menschen unhörbar sind. Der Angriff hat laut Forschungsergebnissen der Zhejiang Universität eine Erfolgsrate von bis zu 96%.

Die Angriffsmethode, die auf dem 47. IEEE Symposium on Security and Privacy in San Francisco vorgestellt wurde, zielt auf große Audio-Sprachmodelle (LALMs) ab, die gesprochene Befehle verarbeiten und mit externen Tools und Anwendungen interagieren können.

„Es dauert nur eine halbe Stunde, dieses Signal zu trainieren, und da dieses Signal kontextunabhängig ist, kann man es jederzeit verwenden, um das Zielmodell anzugreifen, egal was der Benutzer sagt“, sagte Hauptautor Meng Chen, ein Doktorand an der Zhejiang Universität, in einer Erklärung.

Der Angriff funktioniert, indem er die numerischen Werte innerhalb einer digitalen Audiowellenform auf eine Weise modifiziert, die für menschliche Hörer nicht wahrnehmbar ist, aber dennoch beeinflusst, wie KI-Modelle das Signal interpretieren. Forscher sagten, dass das manipulierte Audio das Verhalten eines Modells überschreiben oder umleiten kann, selbst wenn legitime Benutzeranweisungen in dem Clip enthalten sind.

AudioHijack unterscheidet sich von traditionellen Prompt-Injection-Angriffen, da es nicht manipuliert, was der Benutzer der KI sagt. Stattdessen verändert es das Audiosignal selbst und bettet versteckte Anweisungen in Geräusche ein, die Menschen nicht hören können. Forscher sagten, dass dies den Angriff schwerer zu verteidigen macht, da er Schutzmaßnahmen umgeht, die darauf ausgelegt sind, verdächtige Textaufforderungen zu erkennen.

Die Forscher testeten AudioHijack an 13 Open-Source-KI-Sprachmodellen und stellten fest, dass es sie dazu bringen konnte, Anfragen abzulehnen, falsche Informationen zu verbreiten, schädliche Links einzufügen, die Persönlichkeit zu ändern oder Aktionen auszuführen, die der Benutzer nie angefordert hatte, einschließlich Websuchen, Dateidownloads und E-Mails mit persönlichen Daten. Die Angriffe funktionierten auch bei kommerziellen Sprach-KI-Systemen von Microsoft und Mistral, die ähnliche Technologien verwenden.

„Viele frühere Angriffe auf generative Modelle erforderten, dass der Angreifer die vollständige Kontrolle über sowohl die endgültige Audioeingabe als auch die ursprünglichen Anweisungen hatte, die dem Modell gegeben wurden, im Wesentlichen als Benutzer agierend“, so die Studie. „Hier manipuliert der Angreifer nur die Audiodaten, die vom Modell verarbeitet werden, was es ermöglicht, ein Modell anzugreifen, während es von jemand anderem verwendet wird.“

Laut der Studie umfassen mögliche Übertragungswege Online-Videos, Musik-Clips, Sprachnotizen oder Audio von Zoom-Anrufen, die in KI-Transkriptionsdienste hochgeladen werden. Das Team erwähnte auch, dass unveröffentlichte Folgearbeiten ähnliche Angriffe in Live-KI-Sprachchats demonstrierten.

Die Forscher sagten, dass die Überwachung der internen Aufmerksamkeitsmechanismen eines Modells die effektivste Verteidigung war, die sie getestet haben. Sie fanden jedoch auch heraus, dass Angreifer, die von der Verteidigung wussten, die Stärke der Manipulation reduzieren konnten, während ein Großteil der Wirksamkeit des Angriffs erhalten blieb.

„Diese Einzelpunktverteidigungen haben Schwierigkeiten, unserem Angriff zu widerstehen, weil wir festgestellt haben, dass es für diese Modelle sehr schwer ist, die normale Benutzerabsicht und unseren gegnerischen Angriff zu unterscheiden“, sagte Chen.

Beliebte Artikel
banner
Wintermute erweitert Handelsinfrastruktur in Prognosemärkte
Vor 6 Stunden
banner
Aave Labs sichert sich zwei britische Lizenzen für regulierte Krypto-Zahlungsinfrastruktur über lokale Tochtergesellschaft
Vor 10 Stunden
banner
Wintermute drängt in Prognosemärkte mit 20 Mrd. $ monatlichem Handelsvolumen
Vor 13 Stunden
Weitere Artikel
banner
Texas ernennt CleanSpark-Manager, Bitcoin-Miner-CEO in den Ausschuss für die Strategische Bitcoin-Reserve
Vor 5 Stunden
banner
CFTC ebnet den Weg für Krypto-Perpetual-Futures-Kontrakte in den USA, während Coinbase und Kalshi voranschreiten
Vor 5 Stunden
banner
Sui-Blockchain erleidet erneut Ausfallzeiten nach dem sechsstündigen Ausfall am Donnerstag
Vor 5 Stunden
banner
Wintermute erweitert Handelsinfrastruktur in Prognosemärkte
Vor 6 Stunden
banner
Aave Labs sichert sich zwei britische Lizenzen für regulierte Krypto-Zahlungsinfrastruktur über lokale Tochtergesellschaft
Vor 10 Stunden
banner
Base startet Azul auf dem Mainnet und treibt Coinbases Ethereum L2 in Richtung vollständiger Dezentralisierung
Vor 10 Stunden
Beliebte Krypto
Jetzt registrieren, um keine Updates zu verpassen!