MLSecRecommendations
Глава 27 · Безопасность

Глава 27. Безопасность Voice AI и speech-систем

~17 мин17 мин осталось 3 926 словОбновлено 13 мая 2026 г.

Глава 27. Безопасность Voice AI и speech-систем

Версия: 2.0 Дата актуализации: 2026-04-22 Область: TTS, ASR, voice cloning, голосовые ассистенты, voice-to-voice (GPT-4o Audio, Gemini Live, Moshi, SaluteSpeech, Yandex SpeechKit), ЕБС Связи: Глава 10, Глава 11, Глава 18, Глава 26, Глава 29

Аннотация

С 2024 года voice-to-voice модели (GPT-4o Audio, Gemini Live, Hume EVI, Kyutai Moshi, SaluteSpeech GigaChat Voice, Yandex Alisa Pro) стали массовым продуктовым слоем. Speech-каналы отличаются от text двумя важными свойствами:

  • Latency-критичность: естественный разговор требует end-to-end отклика 150-400 ms.
  • Непрерывный поток: streaming input/output, нет четких boundary между turns.

Это создаёт отдельный набор угроз и требований к архитектуре:

  • ASR-входы: adversarial audio, ultrasonic injection, voice spoofing.
  • Voice cloning: уже в 2024 году 3 секунды аудио / качественный клон (ElevenLabs v3, OpenAI Voice Engine).
  • Deepfake инциденты: Arup Engineering Hong Kong Q1 2024 / $25 млн через deepfake video call с «CFO».
  • Биометрия: voiceprint как ПДн специальной категории (GDPR Art. 9, 152-ФЗ, спецкатегория).
  • ЕБС и 572-ФЗ: российские требования для коммерческих voice-биометрических систем.

Эта глава описывает threat model, контроли, reference-архитектуру и compliance для voice AI.

1. Архитектурный ландшафт voice AI

1.1 Типовой cascade pipeline

flowchart LR
  U[User] --> V[VAD]
  V --> A[ASR]
  A --> L[LLM]
  L --> T[TTS]
  T --> U2[Output]
  style U fill:#f5f5f5,stroke:#333
  style V fill:#f5f5f5,stroke:#333
  style A fill:#f5f5f5,stroke:#333
  style L fill:#f5f5f5,stroke:#333
  style T fill:#f5f5f5,stroke:#333
  style U2 fill:#f5f5f5,stroke:#333

1.2 Voice-to-voice (end-to-end)

В 2024-2025 появился прямой voice-to-voice: модель получает аудио embedding и генерирует аудио embedding без промежуточного text.

Примеры:

  • GPT-4o Audio (OpenAI 2024): multimodal с нативным audio I/O.
  • Gemini Live (Google 2024): low-latency Gemini Multimodal Live API.
  • Moshi (Kyutai Labs 2024, open-source): 160 ms round-trip, full-duplex.
  • SaluteSpeech GigaChat Voice (Sber 2025): voice-to-voice для GigaChat.

Преимущества: latency 160-400 ms, сохранение интонации. Недостатки для ИБ:

  • Нет текстовой «линии», на которой работают классические text-based DLP и prompt firewall.
  • Аудитный transcript генерируется post-hoc (неточный, с potential loss).
  • TTS control индиректный.
  • Сложнее content moderation.

1.3 Cascade vs end-to-end: security-точка зрения

Свойство Cascade End-to-End
DLP на text-уровне Да Нет (нет текста)
Latency 600-1200 ms 160-400 ms
Prompt injection detection На text Сложно
Audit: полный transcript Да, deterministic Post-hoc ASR
Контроль TTS голоса Явный Implicit
Модерация на text Стандартная Аудио-модераторы
Воспроизводимость Высокая Низкая
Prosody preservation Низкая Высокая

Для enterprise с высокими compliance-требованиями рекомендуется cascade (или гибрид: cascade в prod + shadow end-to-end для UX-тестов).

End-to-end возможен только при наличии dedicated audio-DLP (пока research-grade, не production).

1.4 Компоненты типичной voice-платформы

  • VAD (Voice Activity Detection): WebRTC VAD, Silero VAD.
  • ASR: Whisper, NeMo ASR, SaluteSpeech ASR, Yandex SpeechKit.
  • Diarization: pyannote.audio, NeMo Diarization.
  • Speaker Verification: WavLM, ECAPA-TDNN, NeMo TitaNet.
  • LLM: GPT, Claude, GigaChat, YandexGPT.
  • TTS: XTTS-v2, Coqui, ElevenLabs, SaluteSpeech TTS, Yandex SpeechKit TTS.
  • Anti-spoofing: ASVspoof5 baseline, commercial Pindrop, Resemble Detect.
  • Watermarking: AudioSeal, WavMark.
  • Transport: SRTP / DTLS + WebRTC.

Доступ по подписке#27-voice-ai-security

Дальше — практика и артефакты

Полная версия главы «Глава 27. Безопасность Voice AI и speech-систем» с готовыми артефактами, шаблонами, чек-листами и подробными процедурами доступна по подписке.

13% прочитано87% в подписке
Внутри:Готовые playbook'иЧек-листыCI/CD конфигиRoadmap внедрения
3код-блоков10таблиц49чек-пунктов1интерактивов
  • Полный доступ ко всем главам и обновлениям 30 дней
  • Готовые playbook'и, шаблоны и runbook'и под копирование
  • Поддержка автора — paywall не для заработка, а для развития справочника

Можно отменить в любой момент. Возврат средств в первые 7 дней без вопросов.