Részeg szemüveg sofőr nélküli autóknak
- A vezető nélküli járművek Achilles sarka az automatikus képfelismerés
- Tízből nyolc alkalommal sikerült megzavarni a kamerákat
- Elég egy erős lézersugár, hogy összezavarodjanak az autonóm autók
- Van megoldás, módosítani kell a szoftvereket
A közlekedésbiztonsági rendezvények egyik kedvence az úgynevezett részeg szemüveg (szimulációs szemüveg), amely a józan sofőrt rádöbbenti, mennyire megváltozik a világ érzékelése körülötte, ha kellően sokat kóstolgatja a szeszesitalokat. De hasonló jelenséget tapasztalhatunk, ha a mesterséges intelligenciát bolondítjuk meg hamis bemeneti adatokkal: ilyenkor az autonóm vezérlés is úgy viselkedhet, mint ami alaposan a pohár fenekére nézett.
Piros vagy zöld – állj vagy menj? A közlekedési lámpák színének helyes felismerése és értelmezése még mindig problémás lehet a vezető nélküli autók számára bizonyos, nehezített körülmények között – legalábbis ezt állítja egy nemzetközi kutatócsoport. Az automatikus és autonóm vezetési funkciókkal rendelkező járműveknek hamarosan a mindennapok részévé kell válniuk az utakon. Vannak azonban olyan vélemények, amelyek szkeptikusak a vezető nélküli autók megbízhatóságával kapcsolatban. Kínai és amerikai biztonsági kutatók egy csoportja kétségbe vonta a csúcstechnológiás járművek műszaki védelmét a rosszindulatú támadásokkal és manipulációkkal szemben.
A tudósok az idei USENIX konferenciára benyújtottak egy tanulmányt, amelyben az autonóm módon közlekedő autókkal végzett tesztsorozat tapasztalatait tárgyalják. (A USENIX egy kaliforniai székhelyű nonprofit szervezet, amely támogatja a fejlett számítástechnikai rendszerekkel és operációs rendszerekkel kapcsolatos kutatásokat.)
A csapat támadásokat hajtott végre a járművek képfelismerő rendszerei ellen. Az eredmény: a támadások 86 százalékában sikerült rávenniük a képfelismerő rendszert, hogy a piros közlekedési lámpát zöldnek higgye.
A vezető nélküli járművek eddig bejelentett műszaki hibáinak többsége az automatikus képfelismerés körül forgott. Ez nem meglepő, mivel a rendszerek gyakran mély neurális hálózaton alapulnak. 2017-ben a tudósoknak már sikerült manipulálniuk a szóban forgó hálózatokat módosított adatok bevitelével.
Az úgynevezett „ellenséges támadások” kifejezetten megváltoztatják a bemeneti képek néhány pixelét. Ez annyira összezavarja a neurális hálózatot, hogy teljesen rossz kategóriákba sorolja a képeket. Az ilyen típusú manipuláció jól ismert demonstrációját a Stanford Egyetem tudósai tették közzé, akik ragasztószalaggal vonalak és pontok mintázatát ragasztották fel közlekedési táblákra.
Mivel a közlekedési lámpák fázisainak megtévesztése sokkal nehezebb vállalkozás, mint néhány pixel egyszerű manipulálása, a kínai Zhejiang Egyetem Chen Yan által vezetett kutatócsoportja más megközelítést választott: úgy döntöttek, hogy közvetlenül, fizikai módon támadják meg a közlekedési lámpák érzékelését. Ehhez egy lézerrel világítottak egy autonóm módon közlekedő autó kamerájába.
A tudóscsoport lézerrel célzott öt, a vezető nélküli járművekben gyakran használt kameramodell érzékelőire. Két nyílt forráskódú szoftvercsomag elemezte a kamerák által rögzített képeket. Az eredmény az volt, hogy a megfelelően nagy teljesítményű lézer a kamera érzékelőjének túlexponálását eredményezheti. Ebben az esetben a képfelismerés nem talál közlekedési lámpát, még akkor sem, ha a helyszín és a térkép tárolt adatai alapján léteznie kellene. Ebben az esetben az autonóm jármű biztonsági üzemmódba lép és megáll.
A kutatócsoport azonban valójában azt akarta elhitetni a járművel, hogy a közlekedési lámpa színe hamis. Ehhez meg kellett győződniük arról, hogy a lézer intenzív fénye nem teszi tönkre a kamera érzékelőjét. A következő lépésben a tudósok úgynevezett gördülő zárat, vagyis a fényképezőgépekben lévő, a fényérzékelőre jutó fény időtartamát befolyásoló eszközt használtak, ami lehetővé teszi a képinformációk soronkénti rögzítését. A kutatók egyszerre csak rövid ideig villantották fel a lézert, miközben az érzékelő egy-egy vonalat rögzített. Ez egy színes, vízszintesen futó csíkot hozott létre a képen, amely végül manipulálta a képfelismerést – számolnak be a tudósok a továbbiakban.
Bizonyítandó, hogy egy ilyen támadás megvalósítható, a tudósok a lézert egy kis távcsőhöz csatlakoztatták. Ezzel sikerült egy 20 kilométeres sebességgel haladó autó kameráját akár 40 méteres távolságból eltalálniuk.
A biztonsági rés megszüntetésére a kutatócsoport azt javasolja, hogy a képérzékelőkbe építsenek be egy véletlenszerű algoritmust, mivel ez csökkentheti a képfelismerő rendszer elleni sikeres támadás esélyét.
N. V.