Así funciona AudioHijack, capaz de tomar el control de tu IA escondido en un audio

Imaginate que estás escuchando un podcast o un video en YouTube cuando, de repente, tu asistente de inteligencia artificial comienza a enviar correos electrónicos con tus datos privados a un tercero o a descargar archivos maliciosos sin que digas una sola palabra, y sin que te hayas enterado. No es una escena de ciencia ficción: un equipo de investigadores de la Universidad de Zhejiang, en China, junto con colegas de Singapur, ha descubierto una vulnerabilidad crítica que permite tomar el control de una IA mediante señales acústicas imperceptibles para el oído humano.El hallazgo: 96% de efectividad silenciosaEl ataque, bautizado como AudioHijack, ha demostrado una eficacia alarmante. Según los resultados presentados en el Simposio de Seguridad y Privacidad del IEEE, esta técnica logra manipular el comportamiento de los Grandes Modelos de Audio-Lenguaje (LALM) con una tasa de éxito de entre el 79% y el 96%.A diferencia de los ataques convencionales de “inyección de prompts” que insertan comandos ocultos en el texto que va a leer una IA, AudioHijack actúa sobre la señal de audio digital. Los investigadores descubrieron que pueden modificar los valores de la onda sonora de tal forma que un micrófono tome el sonido, se lo haga llegar a un chatbot (como Gemini, ChatGPT o Siri, atentos a detectar un sonido que sea una orden de una persona) y le dicte comandos maliciosos, mientras que para un humano el sonido parece una simple reverberación o eco natural de la habitación.¿Por qué es una amenaza sin precedentes?La importancia de este hallazgo radica en tres factores clave. El autor principal, Meng Chen, destaca que la señal maliciosa es “agnóstica al contexto”. Esto significa que, una vez entrenada la señal —proceso que toma apenas 30 minutos—, el ataque funciona independientemente de lo que el usuario esté diciendo en ese momento.Se probó inicialmente en 13 modelos de chatbots, y los investigadores confirmaron que el ataque es efectivo contra sistemas comerciales. Incluso si el atacante no conoce la arquitectura exacta del modelo, puede dirigir sus ataques hacia componentes comunes de procesamiento de audio.El ataque no solo confunde a la IA, sino que la obliga a ejecutar acciones peligrosas. Entre las categorías de ataque demostradas se encuentran la difusión de desinformación, la inserción de enlaces dañinos en mensajes salientes y la activación de herramientas para realizar búsquedas web sensibles o enviar datos personales por correo.Un desafío para la seguridad del futuroEl peligro se intensifica a medida que delegamos más control a los agentes de IA, como el reciente Gemini Spark, que tienen acceso a nuestra vida digital completa. Las defensas actuales son mayormente inútiles.Expertos señalan que, mientras que el texto es fácil de auditar, la modalidad de audio es un desafío “esencialmente no resuelto” debido a las limitaciones del oído humano para detectar estas sutiles manipulaciones digitales.