http://www.mcafee.com/us/resources/data-sheets/foundstone/ds-interactive-voice-response-assessment.pdf

上面的论文对这样一个系统的审计给出了一些解释。他们首先开始使用 API 来自动化调用（在本例中为 Skype），并致力于对基于 DTMF 的接口进行模糊测试。似乎这些系统中很少有纯粹是基于语音识别的，而且许多漏洞可以通过自动化按键位来发现。

http://www.securitytube.net/video/4255

也有一些关于打破这种系统的信息。

所以对于 1) 你不一定要直接模糊声音。

现在，如果您决定必须模糊语音，我认为现有的图书馆不会为您做这件事。我会从记录单词的字典开始——也许是http://shtooka.net/——然后编写一个脚本来播放可能的单词组合。您将使用 skype api 拨打电话，然后播放您想出的句子来测试系统。

在系统上发射随机噪声/正弦音也可能是有利可图的。您可能会发现某种测试频率可以打开系统，就像过去的旧电话飞客所做的那样。确实有大量程序可以帮助您编写测试音调。如果您愿意，您甚至可以使用 web Audio API 用 javascript 编写该部分。

然后，您可能希望使用语音识别软件来检测失败和成功。

如果您没有事先彻底规划系统，这一切都是不可能的。我上面链接的测试计划表明了这一点，我认为这就是你应该开始的地方。