人には聞こえない「ステルス音声」でAIを乗っ取る！AudioHijackの驚異

📰 ニュース概要

• 人間には判別不可能な加工を施した音声信号で、生成AI（音声言語モデル）に不正な操作を強制させる攻撃手法「AudioHijack」が発表された。
• 攻撃成功率は平均79%〜96%と極めて高く、MicrosoftやMistralの技術をベースとした商用レベルのモデルでも有効性が確認された。
• 攻撃者は、ユーザーがAIと対話中にBGMや動画、Zoom通話などを通じて悪意ある信号を注入し、情報の窃取や外部への不正アクセスを行わせる。

💡 重要なポイント

• コンテキスト無視の攻撃: ユーザーがAIに対してどのような指示を出していても関係なく、埋め込まれた不可聴信号が優先的にコマンドとして実行される。
• 生成AIのアクション機能を悪用: 従来の音声認識だけでなく、Web検索、ファイルダウンロード、メール送信などの「行動」を伴う現代的な生成AIが標的となっている。
• トークン化の逆手に: 音声を数値表現（トークン）に変換するプロセスの隙を突き、特定のトークンを強制的に選択させる最適化アルゴリズムを開発して攻撃を実現している。

🦈 サメの眼（キュレーターの視点）

ついに「聞こえない攻撃」が生成AIの深部まで到達したサメ！これまでの攻撃は単なる誤認識を誘うレベルだったけど、今回の「AudioHijack」はAIに明確な「アクション」を取らせるのが恐ろしいところだサメ。 特に、AIが外部ツールと連携してメールを送ったりブラウジングしたりするのが当たり前になった2026年現在、この脆弱性は致命的だサメ。学習にたった30分しかかからない汎用的な信号で、どんな会話中にも割り込める実装の具体性がヤバすぎるサメ！AIを便利に使う裏側に、常に「見えない命令」が潜んでいる可能性を、我々はもっと意識すべきだサメ！

🚀 これからどうなる？

音声AIの入力段における「ノイズフィルタリング」や「命令のソース検証」といった防御策が必須技術になるサメ。また、オープンモデルで開発された攻撃が商用モデルにも転用可能（転移性）であることが示されたため、開発企業はアーキテクチャレベルでの堅牢化を急ぐ必要があるサメね。

💬 はるサメ視点の一言

サメ！音楽を聴かせてるつもりが、AIが裏で勝手に重要ファイルを送信してたらたまらないサメ！セキュリティもAIの進化スピードに食らいついていくサメ！

📚 用語解説

• LALM (Large Audio-Language Models): 音声とテキストの両方を理解し、分析や生成、さらには外部ツールの操作まで行える大規模なAIモデルのこと。

• AudioHijack: 本研究で命名された手法。人間には聞こえないレベルで微修正された音声波形を用いて、AIの挙動を意図的に操る攻撃のこと。

• トークン (Tokens): AIが音声やテキストを処理する際の最小単位。音声を短い断片に切り分け、それぞれに数値を割り当てて管理する仕組み。

• 情報元: Voice AI Systems Are Vulnerable to Hidden Audio Attacks