隠れた音声信号で音声AIシステムを79~96%の成功率で乗っ取る

IEEE Symposium on Security and Privacyで発表された新たな研究により、大規模音声言語モデル(LALM)に対する実用的な攻撃ベクトルが明らかになりました。攻撃者はオーディオクリップに知覚できない信号を埋め込み、モデルの動作を乗っ取ることができ、MistralやMicrosoftの商用サービスを含む13の主要なオープンモデルに対して79〜96%の平均成功率を達成しています。
攻撃の仕組み
改変されたオーディオクリップは人間の耳には聞こえませんが、モデルに隠されたコマンドを実行させます。重要なのは、この攻撃がユーザーの付随する指示に関係なく機能し、同一のクリップを同じモデルに対して何度でも再利用できる点です。攻撃信号の学習には約30分かかります。
悪用される機能
研究者らは、侵害されたモデルが以下のことを強制的に行えることを実証しました。
- ユーザーに知られずに機密性の高いWeb検索を実行
- 攻撃者が管理するソースからのファイルダウンロード
- ユーザーデータを含むメールを外部アドレスに送信
影響を受けるモデル
この攻撃は、商用の音声AI APIを含む13の人気のあるオープンウェイトLALMに対して検証されました。これは、現在の音声AIシステムが敵対的な音響摂動に対する堅牢な防御策を欠いていることを示しています。
📖 出典全文: HN AI Agents
👀 See Also

AIエージェントのガードレールは、積極的なメンテナンスなしでは時間とともに劣化します。
AIエージェントのガードレール(システムプロンプトで定義された安全ルール)は、システムプロンプトの更新が蓄積し、モデルバージョンが変更され、新しいツールが追加されるにつれて時間とともに劣化し、矛盾したルールや無視される安全ルールが生じ、定期的なレビューとテストが必要になることが多い。

フライトラップ攻撃は、敵対的傘を用いてカメラベースの自律ドローンのセキュリティを脅かします。
カリフォルニア大学アーバイン校の研究者らは、塗装された傘を利用してカメラベースの自律ターゲット追跡システムの脆弱性を悪用する物理的攻撃フレームワーク「FlyTrap」を開発しました。この攻撃は追跡距離を危険なレベルまで縮め、ドローン捕獲、センサー攻撃、または物理的衝突を可能にします。

OpenClaw、/pair承認パスにおける重大な権限昇格を修正
OpenClaw 2026.3.28は、/pair approveコマンドにおいて、ペアリング権限を持つユーザーが、管理者アクセスを含む広範なスコープのデバイスリクエストを承認できるという重大なセキュリティ脆弱性(GHSA-hc5h-pmr3-3497)を修正しました。影響を受けるバージョンは <= 2026.3.24です。

ローカルモデルプロンプトインジェクションスキャナー for AIスキルセキュリティ
概念実証ツールは、Ollama上のmistral-small:latestのようなローカルの非ツール呼び出しモデルを使用して、サードパーティのAIスキルに隠れたbashコマンドインジェクションをスキャンし、Claude Codeの!演算子機能におけるセキュリティ脆弱性に対処します。