A GhostStripe támadás eléri, hogy az önvezető autók figyelmen kívül hagyják az útjelző táblákat
Hat főként szingapúri székhelyű egyetemi diák állítása szerint be tudja bizonyítani, hogy lehetséges interferálni az autonóm járművekkel azáltal, hogy kihasználják a gépek kamerás számítógépes látásmódját, és arra késztetik őket, hogy ne ismerjék fel az útjelző táblákat.
A GhostStripe névre keresztelt technika, mely az ACM Nemzetközi Mobilrendszerek Konferenciáján jövő hónapban kerül bemutatásra, emberi szem számára nem észlelhető, de halálos lehet a Tesla és a Baidu Apollo vezetői számára, mivel kihasználja a mindkét cég által használt érzékelőket – konkrétan a CMOS kameraérzékelőket.
Ez alapvetően azt jelenti, hogy LED-eket használnak a közúti jelzések fénymintáinak megvilágítására, így az autó önvezető szoftvere nem képes megérteni a táblákat; ez egy klasszikus támadás a gépi tanulási szoftverek ellen.
Lényeges, hogy visszaél a tipikus CMOS kameraérzékelők gördülő digitális zárjával. A LED-ek gyorsan villognak különböző színekkel a jelre, ahogy az aktív rögzítési vonal lefelé halad az érzékelőn. Így például egy stoptábla piros árnyalata a mesterséges megvilágítás miatt minden pásztázási vonalon máshogyan nézhet ki az autó számára.
Az eredmény egy olyan kamera által rögzített kép, amely tele van sávokkal, amelyek nem egészen illeszkednek úgy egymáshoz, ahogyan azt várnánk. A képet az autó önvezető szoftverén belüli osztályozóba küldik, amely általában mély neurális hálózatokon alapul, értelmezés céljából. Mivel a kép tele van nem egészen megfelelőnek tűnő vonalakkal, az osztályozó nem ismeri fel a képet közlekedési táblaként, ezért a jármű nem reagál rá.
Mindezt már korábban is bizonyították.
Ám ezek a kutatók nemcsak a jel megjelenését torzították el a leírtak szerint, hanem azt mondták, hogy ezt többször is stabilan meg tudták tenni. Ahelyett, hogy egyetlen torz képkockával próbálták volna megtéveszteni az osztályozót, a csapat el tudta érni, hogy minden, a kamerák által rögzített kép furcsán nézzen ki, így a támadási technikát a való világban is használhatóvá tették.
„A stabil támadáshoz… gondosan ellenőrizni kell a LED villogását az áldozat kamerájának működésére vonatkozó információk és a közlekedési tábla helyének és méretének valós idejű becslése alapján a kamera [látómezőjében]” – magyarázták a kutatók.
A csapat ennek a stabilizált támadásnak két változatát fejlesztette ki. Az első a GhostStripe1 volt, amelyhez nem szükséges hozzáférni a járműhöz. Nyomkövető rendszert alkalmaz a céljármű valós idejű helyzetének figyelésére, és ennek megfelelően dinamikusan beállítja a LED villogását, hogy biztosítsa, hogy az autó ne tudja megfelelően leolvasni a jelzést.
A GhostStripe2 célzott, és hozzá kell férni a járműhöz, amit rejtetten megtehet egy gonosztevő, miközben a jármű karbantartás alatt áll. Ez magában foglalja egy jelátalakító elhelyezését a kamera tápkábelén, hogy észlelje a képalkotási pillanatokat, és finomítsa az időzítési vezérlést a tökéletes vagy csaknem tökéletes támadás érdekében.
„Ezért egy konkrét áldozat járművet céloz meg, és ellenőrzi az áldozat közlekedési tábla felismerési eredményeit” – írták az akadémikusok.
A csapat a Baidu Apollo hardver-referenciatervezésénél használt Leopard Imaging AR023ZWDR kamerával felszerelt autón, valódi úton tesztelte rendszerét. Kipróbálták a beállítást a stop, elsőbbségadás és sebességkorlátozó táblákon.
A kutatók szerint a GhostStripe1 94 százalékos, a GhostStripe2 pedig 97 százalékos sikerarányt mutatott.
Egy probléma volt, hogy az erős környezeti fény csökkentette a támadás teljesítményét. „Ez a teljesítménycsökkenés azért következik be, mert a támadófényt túlterheli a környezeti fény” – mondta a csapat. Ez azt sugallja, hogy a gonosztevőknek alaposan meg kell fontolniuk az időt és a helyet, amikor támadást terveznek.
Viszont ellenintézkedések is rendelkezésre állnak. A legegyszerűbb, hogy a redőnyös CMOS kamerát ki lehetne cserélni egy olyan érzékelőre, amely egyszerre készít egy egész felvételt, vagy véletlenszerűvé lehetne tenni a vonalkeresést. Ezenkívül több kamera csökkentheti a támadás sikerességének arányát, esetleg bonyolultabb feltörést igényelhet, vagy a támadást be lehetne vonni az AI képzésbe, hogy a rendszer megtanulja, hogyan kell megbirkózni vele.
A tanulmány csatlakozik egy sor másik kutatáshoz, amelyek ellenséges bemeneteket használtak az autonóm járművek neurális hálózatainak megtévesztésére, beleértve azt is, amelyik a Tesla Model S-t arra kényszerítette, hogy kitérjen a sávból.
A kutatás azt mutatja, hogy még mindig sok a mesterséges intelligencia és az autonóm járművek biztonságával kapcsolatos aggály, amelyet meg kell válaszolni.
Forrás: www.theregister.com