由于AI在语音交互领域的相对成熟化，AI智能音箱这种新的交互形式产品被相继推出。具有代表性的如Google Home、Amazon Echo、Home Pod，AI智能音箱的定位特殊性，天然会携带大量用户隐私的语音数据、用户习惯数据、用户购物数据等。 智能音箱的本质是AI+IoT的结合体，由于二者均处于发展初期所以安全方面存在很多缺陷，Amazon与Google的音箱漏洞事件也印证了这一观点。通过对市面上主流的音箱进行安全分析，并结合其云端开放平台提供的各类功能接口，整理出AI智能音箱面临的主要攻击面如下：

AI侧主要问题：

1. 声音采集通道漏洞 - 用户声音数据被窃取、滥用、冒用

对于AI系统工作流程的最初阶段model训练而言，对声音真实性与可靠性无任何的判别能力的，只能照单全收。如果采集过程及传输通道出现问题，黑客可伪造恶意的声音数据来干扰数据的训练过程，达到污染训练集的目的，可能直接导致数据过拟合或欠拟合，对整个训练过程造成灾难性影响。其次攻击者可以直接窃取用户的声音数据，威胁后期影响核心业务安全。

2. 声音预处理漏洞 - 云端服务渗透、云端服务停滞、model失窃

声音数据上送到云端，进行训练或进行识别之前先要进行预处理。预处理涉及诸如数据格式的解析、降噪、裁剪等等操作。如果这些预处理逻辑考虑的不够周全和严密，可能会被黑客利用，对预处理过程进行攻击，可能造成拒绝服务、注入攻击、溢出攻击、数据失窃等严重威胁。

3. 声纹特征漏洞 - 伪造支付、授权操作

声纹作为用户关键操作（支付、授权等）的凭据，重要性不言而喻、在声纹的验证过程中，大致有以下关键处理流程：预处理->活体检测->特征提取->特征比对->容错。以上任意流程出现缺陷都可能被黑客利用造成攻击，手段包括不限：活体伪造、干扰预处理、干扰特征提取。直接或间接的影响到特征对比的准确性。

4. 语音识别候选漏洞 - 干扰语音识别准确率、影响特定短语结果

由于汉语语音识别系统的特殊性，语音到文字需要两个阶段：语音->拼音->汉字。而拼音与汉字的关系呈现一对多的关系，所以最终的识别结果完全依赖于短语库或句库。如果短语库和句库的来源被黑客直接或间接的控制，就会对语音识别的最终结果产生影响，从而操纵语音识别结果。

5. 技能协议漏洞 - 批量盗取、篡改用户群数据(所有技能)、实施用户诈骗

如果说原生技能是智能音箱的灵魂，那么三方技能就是音箱灵魂的升华。而三方技能的开发依赖于技能开放接口的协议制定，如果开放接口的协议存在设计缺陷，那么再优秀的开发者也无法保证技能应用的安全可靠。黑客利用技能协议漏洞可能会导致三方技能服务器中存储的用户隐私数据被盗窃、篡改返回结果，甚至对用户进行诈骗，引诱其说出更敏感的隐私数据。

6. 技能应用漏洞 - 批量盗取、篡改用户群数据(某项技能)、实施用户诈骗

技能分为原生技能与三方技能，技能本质上都是基于用户的语音内容来决定“响应方式”及“响应内容”。由于技能平台的开放性，技能开发者可低门槛的进入到三方技能开发行列。所以官方原生技能往往拥有着较高的设备和数据权限，而三方技能服务部署于三方服务器对于官方来讲不可管控。所以无论是原生技能还是三方技能都可能因为漏洞问题对用户造成严重的损失，黑客利用技能漏洞可能会导致用户隐私数据被盗窃、篡改返回结果，甚至对用户进行诈骗，引诱其说出更敏感的隐私数据。

设备侧主要问题：

1. 设备绑定漏洞 - 设备被伪造克隆，悄无声息的窃取隐私数据

设备绑定是云端信任音箱设备最为关键的一步。设备绑定协议实现如果存在缺陷，攻击者会伪造该设备从服务器持续窃取用户的各种隐私数据，或者伪造音箱身份向服务器发送伪造用户身份的语音指令，造成用户隐私数据被窃取，冒充用户执行敏感操作。

2. 智能家居协议漏洞 - 智能家居被完全控制，威胁人身安全

作为智能音箱最为特色的功能之一，语音控制能力为智能家电极大的提高了使用体验。但同时由于常见的协议设计缺陷或开发者失误，可能导致智能家电被黑客恶意控制，导致用户隐私数据被窃取(声音、面部图像、指纹、密码等等)、经济损失甚至人身物理伤害。

3. 固件升级漏洞 - 设备被植入后门，长期窃取隐私数据

固件更新保证了固件中漏洞和bug能被及时修复，也致使该功能成为了一个极为敏感的攻击面。如果该功能存在漏洞，攻击者可以直接对音箱系统植入恶意代码，完全控制设备。之后窃取声音、篡改数据完全不在话下。

4. 网络资源获取漏洞 - 网络音频等资源窃取、篡改、植入恶意广告

智能音箱通常以丰富的第三方网络资源为卖点、三方资源(如：音乐、知识节目、听书、新闻等)为音箱的重度播放内容，占据了大量的时间。如果三方网络资源的网络传输存在问题，攻击者可以随时窃取播放内容、篡改播放内容控制音箱播放诈骗、反动、广告等违法内容。

5. 蓝牙接口漏洞 - 得到设备远程控制权，窃取数据

智能音箱可作为蓝牙音箱播放来自手机APP的指令或音乐，但由于IoT设备漏洞修复的滞后性所以已公开的众多蓝牙漏洞可能因此被忽略。此外厂商自行定制的蓝牙组件可能因为开发者疏忽等造成新的定制化漏洞，加剧了设备的危险性。一旦被利用，将导致音箱远程执行权限被取得，用户数据随时被窃取、篡改。

6. 隐藏调试接口暴露 - 设备被完全控制

出于调试的便利性通常会在设备中预留调试接口，但是这些接口需要通过严格的方式管控。做到隐蔽性好的同时更要一套完善的机制来保证不被恶意利用，如果没有做到以上限制，调试接口可被利用修改设备内的数据，植入恶意程序，将严重威胁用户的数据和支付安全。