Когда я начинал работу над дипломным проектом «Умный дом» в 2020–2021 годах, мои приоритеты были просты: функциональность, точность, производительность. Безопасность оставалась за кадром. Это была ошибка. Сегодня, имея опыт коммерческих ИИ-проектов, я понимаю: безопасность — не опция, а фундамент. Если её не заложить с самого начала, перестройка будет дорогостоящей и болезненной.

В этой статье я расскажу о том, какие уязвимости обнаружил в своём дипломном проекте задним числом, как защитить голосовое управление от взломов и утечек, какие архитектурные решения изменил бы сегодня и какие практические шаги стоит предпринять разработчикам и пользователям.

Что я упустил при прототипировании

В 2020–2021 годах мой фокус был на работе системы, а не на её защите. Проект включал распознавание команд с точностью 94,06% и интеграцию с устройствами умного дома, но не предусматривал:

• Шифрование голосовых данных
• Защиту от replay-атак
• Аудит и логирование доступа
• Изоляцию сетевых сегментов

Обнаруженные уязвимости

Уязвимость №1: Передача данных в открытом виде
Аудиопоток шёл от микрофона к нейросети без шифрования. В локальной сети это может быть допустимо, но при выходе в интернет — серьёзный риск. Возможен перехват команд, включая чувствительную информацию — адреса, пароли, личные данные.

Уязвимость №2: Отсутствие разграничения прав
Система выполняла команды любого, кто их произнёс. Не было понятий «пользователь», «администратор» или «гость». Любой в радиусе действия мог открыть дверь или отключить сигнализацию.

Уязвимость №3: Уязвимость к replay-атакам
Злоумышленник мог записать команду «открой дверь» и воспроизвести её позже, обойдя аутентификацию.

Уязвимость №4: Нейросеть как чёрный ящик
Не велось логирование: кто, что, когда и как командовал. Это исключало возможность расследования инцидентов и аудита.

Типы угроз для голосовых систем

Голосовые ИИ-системы подвержены множеству угроз:

• Перехват данных: сниффинг трафика в Wi-Fi
• Replay-атаки: воспроизведение записанных команд
• Подделка голоса: deepfake-аудио, синтез речи
• Несанкционированный доступ: выполнение команд посторонними
• Утечка данных: кража базы голосовых профилей
• Adversarial атаки: скрытые команды в аудио, неслышимые человеку

Многоуровневая защита: архитектурные решения

Если бы я начинал проект сегодня, я бы внедрил следующие изменения:

Изменение №1: Распознавание говорящего (Speaker Verification)

Раньше система понимала только «что сказано», но не «кто сказал». Сегодня я бы добавил двухэтапную проверку:

1. Кто говорит? (Speaker Verification)
2. Что говорит? (Speech Recognition)

Изменение №2: Защита от replay-атак

Теперь я бы использовал nonce и временные метки (timestamps), чтобы каждая команда была уникальной и одноразовой.

Изменение №3: Шифрование данных

Аудиоданные должны передаваться с end-to-end шифрованием — например, по TLS. При хранении — использовать AES-256.

Изменение №4: Контроль доступа (RBAC)

Внедрил бы гранулярную систему прав: гости, пользователи, администраторы — с разными уровнями доступа к функциям.

Изменение №5: Аудит и логирование

Каждое событие — распознанная команда, попытка доступа, сбой — должно фиксироваться. Это необходимо для анализа инцидентов и соблюдения нормативов.

Приватность: Законы и этика

Голосовые данные — это биометрия, а значит, персональные данные. В России они регулируются 152-ФЗ, в ЕС — GDPR. Оба требуют:

• Письменного согласия на обработку
• Локализации данных
• Права на удаление («право на забвение»)
• Принципа «приватность по замыслу» (Privacy by Design)

Принципы Privacy by Design

Минимизация данных: собирайте только то, что необходимо.
Локальная обработка: обрабатывайте данные на устройстве, не отправляя в облако.
Прозрачность: информируйте пользователей о сборе и использовании данных.
Контроль пользователя: дайте возможность управлять своими данными — просматривать, удалять, отключать сбор.

Этические вызовы

Постоянное прослушивание: даже при активации по wake-слову («Алиса», «Салют») пользователь чувствует наблюдение. Решения: физическая кнопка отключения микрофона, LED-индикатор, локальная обработка wake-слова.

Дети и уязвимые группы: дети не осознают сбор данных. Нужны детский режим, родительский контроль и автоматическое удаление записей.

Дискриминация алгоритмов: ИИ хуже распознаёт акценты, детские, пожилые или искажённые голоса. Решение — разнообразные обучающие данные, тестирование на разных группах и альтернативные интерфейсы (текст, жесты).

Тестирование безопасности

Безопасность нужно проверять системно:

• Threat Modeling (STRIDE): анализ угроз — подделка, изменение данных, раскрытие информации и др.
• Penetration Testing: имитация атак
• Code Review: проверка на уязвимости, захардкоженные ключи, отсутствие валидации
• Compliance Audit: соответствие 152-ФЗ, GDPR

Инструменты: Wireshark, tcpdump, Burp Suite, SonarQube, OWASP ZAP, Metasploit, AFL.

Чеклист безопасности

Для разработчиков:

• Defense in depth, сегментация сети
• Многофакторная аутентификация
• TLS 1.3, AES-256, управление ключами
• Логирование, SIEM, алертинг
• Secure coding, SAST/DAST, сканирование зависимостей

Для пользователей:

• Смена стандартных паролей, двухфакторная аутентификация
• Отдельная VLAN для IoT, WPA3, отключённый WPS
• Очистка истории, локальная обработка
• Физическая защита устройств

Будущее безопасности

Deepfake-атаки: подделка голоса с помощью ИИ. Защита — проверка «живости» (liveness detection), мультимодальная аутентификация.

Adversarial атаки: неслышимые команды. Решение — adversarial training, ансамбли моделей.

Атаки на цепочку поставок: компрометация библиотек. Защита — code signing, secure boot, SBOM.

Privacy-Enhancing Technologies:

• Federated Learning: обучение без передачи данных
• Homomorphic Encryption: вычисления на зашифрованных данных
• Secure MPC: совместные вычисления без раскрытия данных

Заключение: Безопасность — это процесс

В 2020 году я считал безопасность фичей, которую можно добавить позже. Это была ошибка. Сегодня я понимаю: безопасность — это архитектура, культура и непрерывный процесс.

Начинайте с threat modeling. Закладывайте защиту в архитектуру. Тестируйте на безопасность. Учитесь. Не доверяйте — проверяйте.

Ваш умный дом должен быть не только умным, но и безопасным. Мой дом — моя крепость.

От диплома до продакшена: Как я создавал архитектуру ИИ-проекта для…

Автор: Алексей Бобрешов, руководитель отдела искусственного интеллекта в федеральном холдингеКатегория: Искусственный интеллект, безопасность, умный дом, приватность *Это продолжение серии статей.

Введение: Ошибки, которые я осознал (слишком поздно - нет, нет ничего слишком, есть цена ошибки)

Когда я начинал работу над дипломным проектом «Умный дом» в 2020–2021 годах, моя голова была забита другими вопросами:

• Как добиться точности распознавания выше 90%?
• Как оптимизировать нейросеть для работы на слабом железе?
• Как интегрировать распознавание команд с реальными устройствами?

**О безопасности я практически не думал. Ну это логично… Зачем - это же диплом-проект?! **

Сегодня, имея опыт работы над коммерческими ИИ-проектами в крупных компаниях, я понимаю:безопасность — это не базовый набор, это фундамент. И если вы не заложили его с самого начала, перестройка будет болезненной.

В этой статье (Часть 6) я расскажу:

• Какие уязвимости я обнаружил в своем дипломном проекте постфактум
• Как защитить голосовое управление от утечек и взломов (ИМХО)
• Какие архитектурные решения я бы изменил, начни я проект сегодня
• Практические рекомендации для тех, кто создает ИИ-системы

Глава 1. Взгляд в прошлое: Что я упустил при прототипировании

1.1. Мои «слепые зоны» в 2020–2021

Давайте честно: когда ты студент, работающий над дипломом, твои приоритеты выглядят так:

1. Функциональность— чтобы работало
2. Точность— чтобы работало хорошо
3. Производительность— чтобы работало быстро
4. Безопасность— а что это вообще такое?

В моем дипломе были реализованы:

• Распознавание голосовых команд с точностью 94.06%
• Интеграция с устройствами умного дома
• Обучение до 250 эпох, в борьбе с переобучением

Но не было:

• Шифрования голосовых данных
• Защиты от replay-атак
• Аудита и логирования доступа
• Изоляции сетевых сегментов

1.2. Уязвимости, которые я обнаружил позже

Когда я начал работать над коммерческими проектами, мой взгляд на безопасность кардинально изменился. Вот что я понял:

Уязвимость №1: Голосовые данные передаются в открытом виде

В моем дипломе аудиопоток передавался от микрофона к нейросети без шифрования. В локальной сети это еще норм, но если представить, что система выходит в интернет…

Риск: Перехват голосовых команд, включая потенциально чувствительную информацию (пароли, адреса, персональные данные).

Уязвимость №2: Нет разграничения прав доступа

Система выполняла команды любого, кто их произнес. Нет понятия «пользователь», «администратор», «гость».(поправочка: предусматривалась разработка, т.е. я думал про этот пункт)

Риск: Любой человек в радиусе слышимости может выключить сигнализацию, открыть дверь или получить доступ к конфиденциальной информации.

Уязвимость №3: Отсутствие защиты от replay-атак

Если злоумышленник запишет вашу голосовую команду «открой дверь», он сможет воспроизвести ее позже.

Риск: Обход системы аутентификации через запись и воспроизведение команд.

Уязвимость №4: Нейросеть как black box

Я не логировал, какие команды были распознаны, кто их отдал, когда и при каких обстоятельствах.

Риск: Невозможность расследования инцидентов, отсутствие аудита.

Глава 2. Безопасность голосового управления: Угрозы и решения

2.1. Типы угроз для голосовых систем ИИ

Давайте систематизируем угрозы:

Тип угрозы

Перехват данных

Перехват голосовых команд при передаче

Сниффинг трафика в Wi-Fi сети

Replay-атаки

Запись и воспроизведение команд

Запись команды «открой дверь»

Подделка голоса

Deepfake аудио, синтез голоса

Несанкционированный доступ

Выполнение команд посторонними

Гость отдает команды хозяина

Утечка данных

Компрометация хранимых данных

Кража базы голосовых профилей

Adversarial attacks

Специально созданные команды

Скрытые команды в аудио

2.2. Архитектура безопасности: Многоуровневая защита

На основе моего опыта, я рекомендую следующую архитектуру:

2.3. Практическая реализация: Что я бы изменил в своем дипломе

Если бы я начинал проект сегодня, вот конкретные изменения:

Изменение №1: Speaker Verification (распознавание говорящего)

Планировал но не сделал: Система распознавала только команду, но не того, кто ее отдал.

Стало бы: Двухэтапная проверка:

1. Кто говорит?(Speaker Verification)
2. Что говорит?(Speech Recognition)

Изменение №2: Защита от Replay-атак

Было: Команды выполнялись без проверки уникальности.

Стало бы: Использование nonce и timestamps:

Изменение №3: Шифрование данных

Было: Аудиоданные передавались в открытом виде.

Стало бы: End-to-end шифрование:

Изменение №4: RBAC (Role-Based Access Control)

Было: Все команды выполнялись без проверки прав.

Стало бы: Гранулярная система прав:

Изменение №5: Аудит и логирование

Было: Никакого логирования.

Стало бы: Детальное логирование всех событий:

Глава 3. Приватность: GDPR, 152-ФЗ и этические аспекты

3.1. Правовое регулирование

При работе с голосовыми данными вы попадаете под действие:

• 152-ФЗ «О персональных данных»Голосовые данные — это биометрические персональные данныеТребуется письменное согласие на обработкуОбязательная локализация баз данных на территории РФУведомление Роскомнадзора

• GDPR (General Data Protection Regulation)Статья 9: Особые категории данных (биометрия)Право на забвение (статья 17)Privacy by Design (статья 25)Штрафы до 4% от годового оборота или 20 млн евро

3.2. Принципы Privacy by Design

При проектировании системы я рекомендую следовать принципам:

Принцип 1: Минимизация данных

Собирайте только то, что действительно нужно:

Принцип 2: Локальная обработка

По возможности обрабатывайте данные локально:

Принцип 3: Прозрачность

Информируйте пользователей (Инструкцией к ПО):

Принцип 4: Контроль пользователя

Предоставьте инструменты управления:

3.3. Этические аспекты ИИ в умном доме

Проблема 1: Постоянное прослушивание

Даже если система «слушает» только wake word («Алиса», «Салют»), это создает ощущение постоянного наблюдения.

• Аппаратное отключение микрофона (физическая кнопка)
• Визуальная индикация (LED при активном микрофоне)
• Локальная обработка wake word (не отправлять в облако)

Проблема 2: Дети и уязвимые группы

Дети могут не осознавать, что их данные собираются.

• Детский режим (ограниченные команды, повышенная приватность)
• Родительский контроль
• Автоматическое удаление детских записей

Проблема 3: Дискриминация алгоритмов

Нейросети могут хуже распознавать:

• Акценты
• Детские голоса
• Голоса пожилых людей
• Люди с нарушениями речи

• Разнообразные тренировочные данные
• Тестирование на разных демографических группах
• Альтернативные способы ввода (текст, жесты)

Глава 4. Security Testing: Как тестировать безопасность (за этот блок: спасибо коллегам из текущего места работы)

4.1. Методология тестирования

Этап 1: Threat Modeling

Используйте методологию STRIDE:

• Spoofing (подделка личности)
• Tampering (несанкционированное изменение)
• Repudiation (отказ от действий)
• Information Disclosure (раскрытие информации)
• Denial of Service (отказ в обслуживании)
• Elevation of Privilege (повышение привилегий)

Этап 2: Penetration Testing

Примеры тестов:

Этап 3: Code Review

Чеклист для code review:

• [ ] Все данные шифруются при передаче (TLS)
• [ ] Все данные шифруются при хранении (AES-256)
• [ ] Пароли и ключи не захардкожены
• [ ] Реализована защита от replay-атак
• [ ] Есть логирование security events
• [ ] Реализован rate limiting
• [ ] Есть input validation
• [ ] Нет уязвимостей (SQL injection, XSS, etc.)

Этап 4: Compliance Audit

Проверка соответствия:

• 152-ФЗ (для РФ)
• GDPR (для ЕС)
• Отраслевым стандартам (если есть)

4.2. Инструменты для тестирования

Для сетевого анализа:

• Wireshark
• tcpdump
• Burp Suite

Для fuzzing:

• AFL (American Fuzzy Lop)
• libFuzzer
• custom fuzzers для аудио

Для статического анализа:

• SonarQube
• Bandit (для Python)
• Semgrep

Для динамического анализа:

• OWASP ZAP
• Metasploit

Глава 5. Практические рекомендации: Чеклист безопасности

5.1. Чеклист для разработчиков

Архитектура:

• [ ] Используется defense in depth (многоуровневая защита)
• [ ] Реализована сегментация сети
• [ ] Есть изоляция критических компонентов
• [ ] Используется principle of least privilege

Аутентификация:

• [ ] Реализована multi-factor authentication
• [ ] Есть защита от brute force (rate limiting, account lockout)
• [ ] Используются secure сессии (timeout, rotation)
• [ ] Реализована защита от replay-атак

Шифрование:

• [ ] TLS 1.3 для передачи данных
• [ ] AES-256 для хранения данных
• [ ] Secure key management (HSM, KMS)
• [ ] Regular key rotation

Приватность:

• [ ] Data minimization (только необходимые данные)
• [ ] Purpose limitation (только заявленные цели)
• [ ] Storage limitation (автоматическое удаление)
• [ ] Privacy by design и by default

Мониторинг:

• [ ] Логирование всех security events
• [ ] SIEM система
• [ ] Alerting на аномалии
• [ ] Regular security audits

Разработка:

• [ ] Secure coding practices
• [ ] Code review с фокусом на безопасность
• [ ] SAST/DAST инструменты
• [ ] Dependency scanning (уязвимости в библиотеках)

5.2. Чеклист для пользователей

Если вы используете умный дом:

Настройки:

• [ ] Измените дефолтные пароли
• [ ] Включите двухфакторную аутентификацию
• [ ] Отключите ненужные функции
• [ ] Проверьте разрешения приложений

• [ ] Используйте отдельную VLAN для IoT
• [ ] Включите WPA3 на Wi-Fi
• [ ] Отключите WPS
• [ ] Обновите прошивку роутера

Приватность:

• [ ] Проверьте, какие данные собираются
• [ ] Отключите сбор данных, если возможно
• [ ] Регулярно очищайте историю команд
• [ ] Используйте локальную обработку

Физическая безопасность:

• [ ] Используйте физические переключатели для микрофонов
• [ ] Размещайте устройства вне прямой видимости с улицы
• [ ] Защищайте устройства от физического доступа

Глава 6. Будущее безопасности голосовых систем

6.1. Emerging Threats

Deepfake Voice Attacks

С развитием генеративного ИИ (GPT, Tacotron, WaveNet) создание реалистичных подделок голоса становится тривиальным.

• Liveness detection (проверка «живости» голоса)
• Multi-modal authentication (голос + лицо + поведение)
• Continuous authentication (постоянная проверка в течение сессии)

Adversarial Machine Learning

Специально созданные аудиокоманды, неслышимые для человека, но распознаваемые ИИ.

• Adversarial training (обучение на adversarial примерах)
• Input sanitization (очистка входных данных)
• Ensemble models (ансамбли моделей для детекции аномалий)

Supply Chain Attacks

Компрометация библиотек, фреймворков, обновлений прошивки.

• Code signing (подпись кода)
• Secure boot (безопасная загрузка)
• SBOM (Software Bill of Materials)
• Dependency verification

6.2. Privacy-Enhancing Technologies (PETs)

Federated Learning

Обучение моделей без передачи сырых данных:

• Данные остаются на устройстве
• Передаются только градиенты
• Differential privacy для защиты градиентов

Homomorphic Encryption

Вычисления на зашифрованных данных:

• Данные никогда не расшифровываются
• Медленно, но безопасно
• Подходит для критических операций

Secure Multi-Party Computation (MPC)

Совместные вычисления без раскрытия данных:

• Несколько сторон участвуют в вычислениях
• Никто не видит данные других
• Cryptographic guarantees

6.3. Regulatory Trends

Ожидаемые изменения:

• Классификация ИИ по уровню риска
• Голосовые системы — высокий риск
• Обязательная сертификация

US Executive Order on AI

• Standards for AI safety
• Red-teaming requirements
• Transparency obligations

• Развитие 152-ФЗ для ИИ
• Требования к локализации
• Обязательная сертификация

Заключение: Безопасность — это процесс, а не продукт

Когда я начинал свой дипломный проект в 2020 году, я думал о безопасности как о «фиче», которую можно добавить потом.

Сегодня я понимаю: это была ошибка.

Безопасность — это:

• Архитектурное решение, а не патч
• Культура разработки, а не чеклист
• Непрерывный процесс, а не разовое мероприятие
• Баланс между удобством и защитой, а не компромисс

Что я бы сказал себе в 2020:

1. Начни с threat modeling— пойми угрозы до написания кода
2. Используй security by design— закладывай защиту в архитектуру
3. Тестируй на безопасность— не только на функциональность
4. Учись continuously— угрозы эволюционируют
5. Не доверяй, проверяй— zero trust architecture

Для тех, кто начинает сегодня:

Не повторяйте моих ошибок. Безопасность — это не «потом». Это «сейчас».

Ваш умный дом должен быть не только умным, но и безопасным.Мой дом - моя крепость

Призыв к действию

Если вы создаёте нейросети и ИИ-системы:

• Сразу, с первого дня, думайте о безопасности — хотя можно сделать её потом (но до внедрения)
• Регулярно проверяйте систему: нет ли дыр и уязвимостей (не просто так есть тестировщики)
• Учитесь сами: как защищать свой ИИ от взлома и атак

Если вы руководите продуктом (продукт-менеджер):

• Сделайте правило: задача считается готовой, только если она безопасная
• Закладывайте деньги в бюджет на тестирование безопасности
• Ставьте в приоритет функции, которые защищают личные данные пользователей

Если вы обычный пользователь:

• Требуйте от компаний, чтобы они честно рассказывали, как работают их ИИ
• Настраивайте приватность в приложениях и соцсетях (не оставляйте как попало)
• Регулярно обновляйте свои устройства — телефон, ноутбук, планшет (даже не ИИ)

Читать Часть 1:«От диплома до продакшена: Как я создавал архитектуру ИИ-проекта для… Часть 1: Что я хотел видеть дома в 2021»

Читать Часть 5:«Интеграция с устройствами «Умного дома» — от модели к реальному устройству»

Автор: Алексей Бобрешов, руководитель отдела искусственного интеллекта

Лицензия: CC BY-NC 4.0