Ученые придумали, как обмануть беспилотное авто с помощью аудиосигналов
Атака Poltergeist включает функции стабилизации изображения датчика камеры и размывает изображения, позволяя обмануть систему машинного обучения авто.
Группа исследователей из Чжэцзянского и Мичиганского университетов описала новый метод, позволяющий с помощью простых аудиосигналов «ослепить» беспилотные автомобили и заставить их не замечать препятствия по пути.
В основе нового метода лежит уязвимость, возникающая в результате использования в беспилотных транспортных средствах стабилизаторов изображений с внутренними датчиками, «уязвимых к акустическим манипуляциям, и алгоритмов распознавания объектов, уязвимых к враждебным образцам». Враждебные образцы (adversarial examples) - изображения, которые выглядят вполне обычно для человека, но ошибочно интерпретируются компьютером.
Техника, которую ученые назвали Poltergeist, представляет собой атаку, направленную на использующие камеры системы компьютерного зрения, реализованные в беспилотных авто. Используя аудиосигнал, Poltergeist включает функции стабилизации изображения датчика камеры и размывает изображения, позволяя обмануть систему машинного обучения авто и заставить ее игнорировать препятствия на дороге.
«Размытие, возникающее из-за необязательной компенсации движения, может изменить контуры, размер и даже цвет существующего объекта или участок изображения без каких-либо объектов. Это позволит скрыть, модифицировать или создать несуществующий объект», - пояснили исследователи.
В рамках тестирования ученые смогли обмануть нейронные сети YOLO V3/V4/V5, Fast R-CNN и YOLO 3D. В эксперименте на сокрытие объектов атака Poltergeist показала эффективность в 100%, на создание объектов – 87,9%, на изменение объектов – 95,1%.
Для того чтобы проверить концепцию за пределами лаборатории, команда прикрепила смартфон Samsung S20 к движущемуся автомобилю и провела атаку. Выяснилось, что в таких условиях создать объект или изменить его гораздо сложнее – здесь атака показала эффективность в 43,7% и 43,1% соответственно, однако метод оказался весьма эффективен в плане сокрытия объекта (98,3%).
AMpLe (injecting physics into adversarial machine learning) атаки не ограничиваются только аудиосигналами, но могут использовать ультразвук, видимый свет, инфракрасные лазеры, радио или магнитные поля, тепло, жидкость и т.д. для передачи сигнала и манипулирования данными датчиков и, соответственно, процессами машинного обучения, предупредили ученые.
Ваш провайдер знает о вас больше, чем ваша девушка?