Ученые придумали, как обмануть беспилотное авто с помощью аудиосигналов
Группа исследователей из Чжэцзянского и Мичиганского университетов описала новый метод, позволяющий с помощью простых аудиосигналов "ослепить" беспилотные автомобили и заставить их не замечать препятствия по пути.
В основе нового метода лежит уязвимость, возникающая в результате использования в беспилотных транспортных средствах стабилизаторов изображений с внутренними датчиками, "уязвимых к акустическим манипуляциям, и алгоритмов распознавания объектов, уязвимых к враждебным образцам". Враждебные образцы (adversarial examples) - изображения, которые выглядят вполне обычно для человека, но ошибочно интерпретируются компьютером.
Техника, которую ученые назвали Poltergeist, представляет собой атаку, направленную на использующие камеры системы компьютерного зрения, реализованные в беспилотных авто. Используя аудиосигнал, Poltergeist включает функции стабилизации изображения датчика камеры и размывает изображения, позволяя обмануть систему машинного обучения авто и заставить ее игнорировать препятствия на дороге.
"Размытие, возникающее из-за необязательной компенсации движения, может изменить контуры, размер и даже цвет существующего объекта или участок изображения без каких-либо объектов. Это позволит скрыть, модифицировать или создать несуществующий объект", - пояснили исследователи.
В рамках тестирования ученые смогли обмануть нейронные сети YOLO V3/V4/V5, Fast R-CNN и YOLO 3D. В эксперименте на сокрытие объектов атака Poltergeist показала эффективность в 100%, на создание объектов - 87,9%, на изменение объектов - 95,1%.
Для того чтобы проверить концепцию за пределами лаборатории, команда прикрепила смартфон Samsung S20 к движущемуся автомобилю и провела атаку. Выяснилось, что в таких условиях создать объект или изменить его гораздо сложнее - здесь атака показала эффективность в 43,7% и 43,1% соответственно, однако метод оказался весьма эффективен в плане сокрытия объекта (98,3%).
AMpLe (injecting physics into adversarial machine learning) атаки не ограничиваются только аудиосигналами, но могут использовать ультразвук, видимый свет, инфракрасные лазеры, радио или магнитные поля, тепло, жидкость и т. д. для передачи сигнала и манипулирования данными датчиков и, соответственно, процессами машинного обучения, предупредили ученые.
