Részeg szemüveg sofőr nélküli autóknak

  • A vezető nélküli járművek Achilles sarka az automatikus képfelismerés.
  • Tízből nyolc alkalommal sikerült megzavarni a kamerákat.
  • Elég egy erős lézersugár, hogy összezavarodjanak az autonóm autók.
  • Van megoldás, módosítani kell a szoftvereket.

A közlekedésbiztonsági rendezvények egyik kedvence az úgynevezett részeg szemüveg (szimulációs szemüveg), amely a józan sofőrt rádöbbenti, mennyire megváltozik a világ érzékelése körülötte, ha kellően sokat kóstolgatja a szeszesitalokat. De hasonló jelenséget tapasztalhatunk, ha a mesterséges intelligenciát bolondítjuk meg hamis bemeneti adatokkal: ilyenkor az autonóm vezérlés is úgy viselkedhet, mint ami alaposan a pohár fenekére nézett.

Piros vagy zöld – állj vagy menj? A közlekedési lámpák színének helyes felismerése és értelmezése még mindig problémás lehet a vezető nélküli autók számára bizonyos, nehezített körülmények között – legalábbis ezt állítja egy nemzetközi kutatócsoport. Az automatikus és autonóm vezetési funkciókkal rendelkező járműveknek hamarosan a mindennapok részévé kell válniuk az utakon. Vannak azonban olyan vélemények, amelyek szkeptikusak a vezető nélküli autók megbízhatóságával kapcsolatban. Kínai és amerikai biztonsági kutatók egy csoportja kétségbe vonta a csúcstechnológiás járművek műszaki védelmét a rosszindulatú támadásokkal és manipulációkkal szemben.

A tudósok az idei USENIX konferenciára benyújtottak egy tanulmányt, amelyben az autonóm módon közlekedő autókkal végzett tesztsorozat tapasztalatait tárgyalják. (A USENIX egy kaliforniai székhelyű nonprofit szervezet, amely támogatja a fejlett számítástechnikai rendszerekkel és operációs rendszerekkel kapcsolatos kutatásokat.)

A csapat támadásokat hajtott végre a járművek képfelismerő rendszerei ellen. Az eredmény: a támadások 86 százalékában sikerült rávenniük a képfelismerő rendszert, hogy a piros közlekedési lámpát zöldnek higgye.

A vezető nélküli járművek eddig bejelentett műszaki hibáinak többsége az automatikus képfelismerés körül forgott. Ez nem meglepő, mivel a rendszerek gyakran mély neurális hálózaton alapulnak. 2017-ben a tudósoknak már sikerült manipulálniuk a szóban forgó hálózatokat módosított adatok bevitelével.

Az úgynevezett „ellenséges támadások” kifejezetten megváltoztatják a bemeneti képek néhány pixelét. Ez annyira összezavarja a neurális hálózatot, hogy teljesen rossz kategóriákba sorolja a képeket. Az ilyen típusú manipuláció jól ismert demonstrációját a Stanford Egyetem tudósai tették közzé, akik ragasztószalaggal vonalak és pontok mintázatát ragasztották fel közlekedési táblákra.

Mivel a közlekedési lámpák fázisainak megtévesztése sokkal nehezebb vállalkozás, mint néhány pixel egyszerű manipulálása, a kínai Zhejiang Egyetem Chen Yan által vezetett kutatócsoportja más megközelítést választott: úgy döntöttek, hogy közvetlenül, fizikai módon támadják meg a közlekedési lámpák érzékelését. Ehhez egy lézerrel világítottak egy autonóm módon közlekedő autó kamerájába.

A tudóscsoport lézerrel célzott öt, a vezető nélküli járművekben gyakran használt kameramodell érzékelőire. Két nyílt forráskódú szoftvercsomag elemezte a kamerák által rögzített képeket. Az eredmény az volt, hogy a megfelelően nagy teljesítményű lézer a kamera érzékelőjének túlexponálását eredményezheti. Ebben az esetben a képfelismerés nem talál közlekedési lámpát, még akkor sem, ha a helyszín és a térkép tárolt adatai alapján léteznie kellene. Ebben az esetben az autonóm jármű biztonsági üzemmódba lép és megáll.

A kutatócsoport azonban valójában azt akarta elhitetni a járművel, hogy a közlekedési lámpa színe hamis. Ehhez meg kellett győződniük arról, hogy a lézer intenzív fénye nem teszi tönkre a kamera érzékelőjét. A következő lépésben a tudósok úgynevezett gördülő zárat, vagyis a fényképezőgépekben lévő, a fényérzékelőre jutó fény időtartamát befolyásoló eszközt használtak, ami lehetővé teszi a képinformációk soronkénti rögzítését. A kutatók egyszerre csak rövid ideig villantották fel a lézert, miközben az érzékelő egy-egy vonalat rögzített. Ez egy színes, vízszintesen futó csíkot hozott létre a képen, amely végül manipulálta a képfelismerést – számolnak be a tudósok a továbbiakban.

Bizonyítandó, hogy egy ilyen támadás megvalósítható, a tudósok a lézert egy kis távcsőhöz csatlakoztatták. Ezzel sikerült egy 20 kilométeres sebességgel haladó autó kameráját akár 40 méteres távolságból eltalálniuk.

A biztonsági rés megszüntetésére a kutatócsoport azt javasolja, hogy a képérzékelőkbe építsenek be egy véletlenszerű algoritmust, mivel ez csökkentheti a képfelismerő rendszer elleni sikeres támadás esélyét.

N.V.