近日，澳门银银河4936郝杰副教授、杨义先教授团队两项研究成果被第34届USENIX Security Symposium (USENIX Security 2025) 全文接收，两篇论文的第一作者分别为澳门银银河49362021级本科生张志胜和2022级本科生金伟飞。USENIX Security为CCF A类会议，与IEEE S&P、ACM CCS、NDSS并称为网络与信息安全领域四大国际顶级学术会议，代表着国际网络与信息安全研究的最前沿水平。这是澳门银银河4936本科生首次以第一作者在网络与信息安全领域四大顶级会议上发表学术论文，澳门银银河4936郝杰副教授为2篇论文的通信作者。

一、论文题目：“SafeSpeech: Robust and Universal Voice Protection Against Malicious Speech Synthesis”，第一作者为2021级本科生张志胜。

生成式语音合成技术（Speech Synthesis）在日常生活中的应用日益广泛，如语音助手、视频配音等场景，显著提升了用户体验。然而，此类技术的滥用也带来了严重的安全隐患。恶意攻击者可能通过未经授权的方式从社交媒体等平台收集目标说话人的语音数据，并利用语音合成工具克隆出高度相似的声音，进而实施电信诈骗等非法活动。目前，针对虚假音频的防御策略主要集中在模型推理阶段使用对抗样本以防止零样本合成，但这些方法在基于鲁棒性微调的语音合成方面存在明显不足，难以应对多样化的攻击手段。

本文提出了一种新的主动防御框架——SafeSpeech。该框架通过引入语音扰动性隐藏（Speech PErturbative Concealment, SPEC）技术，结合时域和频域的扰动优化，有效保护目标说话人的原始音频数据，防止其被用于微调和零样本语音合成。实验结果表明，SafeSpeech在11个主流语音合成模型上均表现出优异的防御效果，具备较好的迁移性和实时保护能力。该成果不仅为个人声音隐私提供了强有力的保护，还显著降低了生成式语音合成技术可能带来的安全风险，具有重要的现实意义和应用价值。

图1 基于SafeSpeech框架保护用户语音数据

二、论文题目：“Whispering Under the Eaves: Protecting User Privacy Against Commercial and LLM-powered Automatic Speech Recognition Systems”，第一作者为2022级本科生金伟飞。

自动语音识别（Automatic Speech Recognition，ASR）的广泛应用使大规模的语音监控成为可能，引发了用户对隐私的担忧。本文聚焦于利用对抗样本来减轻语音通信中潜在窃听者可能带来的未授权语音隐私泄露问题。虽然音频对抗样本已经被证明了误导ASR模型或规避ASR监控的能力，但它们通常是通过耗时的离线优化构建的，这限制了它们在实时语音通信中的实用性。近期的研究通过生成通用对抗扰动（Universal Adversarial Perturbation，UAP）并增强其在黑盒场景中的迁移性，克服了这一限制。然而，这些方法引入了过多的噪声，显著降低了音频质量并影响了人类的感知，从而限制了其在实际场景中的有效性。

本文提出了一个新的语音通讯隐私保护框架——AudioShield。该框架的核心概念是潜在空间中的可迁移通用对抗扰动（LS-TUAP）。通过将扰动转移到潜在空间，音频质量在很大程度上得以保持。此外，本文提出了目标特征适应方法，通过将目标文本特征嵌入到扰动中，增强了通用对抗扰动的可迁移性。对四个商用ASR API（Google、Amazon、iFlytek和Alibaba）、三个广泛使用的语音助手（Apple Siri、Google Assistant和Amazon Alexa）、两个基于LLM的ASR（Qwen-Audio和MooER）和一个最先进的传统ASR（OpenAI Whisper）共10个ASR模型进行的全面评估表明，AudioShield在保护效果上优于现有方法，且客观和主观评估均显示AudioShield显著改善了音频质量。此外，AudioShield在实时端到端场景中也表现出较高的有效性，并且对自适应反制措施具有很好的抵抗效果。

图2 大规模语音监听场景下使用AudioShield保护语音通讯隐私