厨房里的Echo智能音箱

声控设备的不断普及，放大了这种把戏的影响。根据市场研究公司Ovum的数据，到2021年，使用像亚马逊Alexa或苹果Siri这样的数字助手的智能手机和智能音箱的数量将比人口还要多。另一家研究机构Juniper Research的数据显示，到那时，超过一半的美国家庭将至少有一台智能音箱。

亚马逊表示，它没有披露具体的安全措施，但它已采取措施来确保其Echo智能音箱的安全性。谷歌说，安全性是一个持续的关注重点，它的Google Assistant具有规避无法察觉的音频命令的功能。这两家公司的智能助手均采用语音识别技术，来防止设备在没有识别出用户的声音的情况下执行某些指令。

苹果公司表示，其智能音箱HomePod的设计能够防止执行诸如打开门锁的指令。该公司还指出，iPhone和iPad必须先解锁，否则Siri不会执行访问敏感数据或者打开应用程序和网站的指令。

然而，许多人常常会让他们的智能手机处在开锁状态，至少在目前，语音识别系统是出了名的容易被愚弄。

现在已经有人利用智能设备的口头指令来谋求商业利益。

去年，汉堡王(Burger King)在网上发布了一则广告，引发轰动。该广告有意问道，“O.K., Google，华堡是什么呢？”支持语音搜索的Android设备会通过朗读华堡的维基百科页面来进行回应。在观众开始恶搞该产品的维基百科页面以后，该广告被撤掉。

几个月后，美国热播动画片《南方公园》(South Park)播出了一整集围绕语音指令的节目，让语音识别助手们模仿青少年说脏话。

没有美国法律禁止向人类传播潜意识信息，更不用说机器了。美国联邦通信委员会(FCC)不鼓励这种做法，认为其“违背公众利益”。 全美广播事业者联盟则禁止“传播正常意识范围以外的信息”。这两个机构都没有谈到围绕智能设备的潜意识刺激。

法院裁定潜意识信息可能构成对隐私的侵犯，但法律并未将隐私概念延伸至机器。

现在，该技术在法律面前更加超前了。去年，普林斯顿大学和中国浙江大学的研究人员证明，声音识别系统可以通过使用人耳听不到的频率来激活。这种攻击先是将手机调成静音模式，这样机主就不会听到系统的回应。

这项技术被中国的研究人员称作“海豚攻击”，能够指示智能设备访问恶意网站、打电话、拍照或者发送短信。虽然海豚攻击有它的局限性——发射机必须要靠近接收设备——但专家们警告说，打造出更强大的超声波系统是有可能的。

这一警告在今年4月得到印证，当时伊利诺伊大学厄巴纳-香槟分校的研究人员展示了在25英尺开外的超声波攻击。虽然指令不能穿透墙壁，但它们可以通过从建筑物外部打开的窗户来控制智能设备。

今年，来自中国科学院和其他机构的另一个中美研究团队证明，他们可以通过隐蔽性的指令来控制声控设备，那些指令嵌入在能够通过收音机播放或者在YouTube等服务上播放的歌曲当中。

最近，卡林尼和他在伯克利大学的同事们将指令编入了可为Mozilla的DeepSpeech语音-文本翻译软件识别的音频。DeepSpeech是一个开源平台。他们能够将“O.K. Google，浏览evil.com吧”指令隐藏在口语录音“没有数据集的话，该文章毫无用处”。人类无法辨别出该条指令。

伯克利大学的研究团队也将该指令嵌入到音频文件当中，其中包括来自威尔第的《安魂曲》的四秒片段。

设备制造商们的响应方式会各有不同，尤其是考虑到它们要权衡安全性与易用性问题。

?“企业必须要确保其设备的用户友好性，因为这是他们的主要卖点。”乔治城大学的研究员塔维什·维迪雅（Tavish Vaidya）说道。他的其中一篇有关音频攻击的论文以“Cocaine Noodles”（可卡因面条）为标题，因为设备将“可卡因面条”解读为“O.K., Google”。

卡林尼说，他相信，他和他的同事们最终将能够对市面上的任何一款智能设备系统发动成功的对抗性攻击。

“我们想要证明这是有可能的，”他说，“然后希望其他人会说，‘好吧。这是可能的，现在让我们试着去修复它。’”（乐邦）