案件回顾

2018年5月,美国俄勒冈州波特兰市的一对夫妇向媒体公开了一桩令人不安的事件:他们家的Amazon Echo智能音箱中的Alexa语音助手,在未经任何用户唤醒指令的情况下,自动录制了他们的私人对话,并将录音文件通过互联网发送给了丈夫的一名下属。该下属收到录音后一头雾水,随即联系了夫妇二人告知此事。夫妇二人调查后发现,录音内容涵盖了数十分钟的私人对话,涉及家庭财务安排、个人健康信息和商业合作细节。

Amazon公司随后证实,造成此事件的技术原因是一系列极低概率的巧合:Alexa语音助手错误地将对话中的某个类似"Alexa"的发音识别为唤醒词,激活了录音功能;此后,Alexa又将对话中的某个类似"发送"的发音错误识别为语音指令;再加上Alexa"理解"了一个发送对象的名字,从而完整执行了"录音并发送"的动作链条。这套由多个错误概率事件叠加导致的"完美受害者"方案,最终造成了严重的录音泄露事故。

智能语音助手的录音工作原理

要理解这起事件及其背后更为普遍的风险,需要先了解智能语音设备的录音工作原理。Amazon Echo、Google Home和Apple HomePod等智能音箱设备,内部均配备了由多个麦克风组成的麦克风阵列。这些麦克风处于持续的"低功耗监听"状态,等待"唤醒词"(如Alexa、Hey Google或Hey Siri)的出现。

当设备的本地语音处理芯片识别到疑似唤醒词的语音信号后,设备会从"本地模式"切换到"云端模式",将随后的语音指令录制为音频片段并上传至云服务器进行解析。这意味着,从技术上讲,智能音箱设备确实在持续"听"着周围的声音,只不过这些未匹配唤醒词的音频数据通常不会被持久化存储或上传。但是,当误唤醒发生时,一段完整的、未经用户授权的录音就会被采集并上传到云端。

录音泄露的商业安全风险

Amazon Alexa误录音事件虽然源于技术错误,但它揭示了智能语音设备在商业环境中可能造成的录音泄露风险。在企业的开放办公区域、高管办公室、小型会议室和视频面试间等场景中,智能语音设备的普及带来了以下几个层面的安全隐患。

首要,无意录音的商业机密暴露风险。当高管理人员在办公室讨论企业的并购方案、客户报价体系或核心技术路线图时,如果办公室内恰好放置了一台智能音箱,一段不经意间的误唤醒就足以将整段对话录音上传至云端。虽然科技公司声称录音数据经过加密处理,但加密保护的是传输过程而非存储和访问控制。一旦录音被上传,其后续存储、管理和调用的控制权就从企业内部转移到了外部云服务商手中。

第二,录音的二次利用风险。亚马逊、谷歌和苹果等公司会利用用户录音数据来训练和改进其语音识别模型。虽然这些公司声称数据经过匿名化处理,但研究表明,匿名化后的语音数据在结合上下文信息后仍有概率被重新识别到具体个体。这意味着,企业的商业机密内容可能在用户不知情的情况下成为AI训练数据集的一部分。

第三,第三方应用的数据访问风险。Amazon Alexa支持数千款第三方技能(Skills),Google Home也支持大量第三方操作。许多第三方技能在提供服务的同时,会请求获取用户的语音录音数据。企业员工作为个人用户授权了这些第三方技能,这些技能就可能获取到包含了工作场所内商业对话录音的访问权限。根据安全研究机构的调查,部分第三方技能在数据收集和使用方面的合规水平远低于企业安全管理的标准。

全球类似的误录音泄露事件

Amazon Alexa的误录音事件并非孤例。2019年,比利时的一家媒体曝光了Google语音助手录音审核项目,披露了超过1000段用户隐私录音被Google合作伙伴人工审听,这些录音中包括企业的商业谈判内容、病历信息和儿童对话。2020年,Apple也被曝光其Siri语音评估项目中,人工审听人员听到了涉及毒品交易、医患对话和性行为的录音内容。2021年,Zoom视频会议平台的"注意力检测"功能被证实会采集用户的音频进行AI分析,引发全球企业用户对远程协作工具录音安全的广泛关注。

这些事件揭示了一个共同的趋势:在各类语音AI产品和服务的背后,几乎都存在"人工+AI"的录音审核环节。无论产品宣传中如何强调"自动化处理"和"隐私保护",录音数据被人工访问的风险始终存在。

企业防控语音录音泄露的举措

面对智能语音设备无处不在的录音风险,企业应当建立系统性的防控措施。一是明确划定禁语区域,将在办公室、会议室、研发中心等涉密场所内放置智能语音设备列入安全管理规定,并定期巡检确保执行到位。二是在涉密会议和商务谈判前,对会议室进行全面检查,核实现场是否存在智能音箱、智能显示器、智能电视等具有录音功能的电子设备。三是对员工进行智能设备录音安全意识的培训,使其了解智能语音设备的录音原理和潜在风险,提高在日常工作中对周围电子设备的敏感度。四是为涉密场所配备专业防窃听检测设备,定期对办公区域进行射频信号扫描,排查任何未经授权的无线录音设备。

在远程办公日益普及的背景下,还应当关注员工在家办公时的录音风险。企业在安排涉密工作的远程讨论和在线会议时,应明确要求参与者关闭会议环境中的智能语音设备,并使用企业自建或在企业可控范围内的音视频通信系统。

北京企密安信息安全技术有限公司提供专业的商业环境安全评估和反录音检测服务,涵盖办公室隐藏录音排查、智能设备安全评估和涉密会议安全保障等领域。如需了解更多服务信息,请致电010-63711822或访问baomiwang.com。