Connect with us

الهجوم العدائي البصري يمكن أن يغير معنى لافتات الطريق

الأمن السيبراني

الهجوم العدائي البصري يمكن أن يغير معنى لافتات الطريق

mm
Published
Updated

قام الباحثون في الولايات المتحدة بتطوير هجوم عدائي ضد قدرة أنظمة التعلم الآلي على تفسير ما يرونه بشكل صحيح – بما في ذلك العناصر الحيوية مثل لافتات الطريق – من خلال توجيه ضوء منظم على أشياء العالم الحقيقي. في تجربة واحدة، نجح النهج في تغيير معنى لافتة “STOP” على جانب الطريق إلى لافتة حد سرعة “30mph”.

الاضطرابات على لافتة، تم إنشاؤها بواسطة توجيه ضوء منحوت عليها، تشوه كيف يتم تفسيرها في نظام التعلم الآلي.

الاضطرابات على لافتة، تم إنشاؤها بواسطة توجيه ضوء منحوت عليها، تشوه كيف يتم تفسيرها في نظام التعلم الآلي. مصدر: https://arxiv.org/pdf/2108.06247.pdf

البحث البحث يحمل عنوان الهجوم العدائي البصري، ويأتي من جامعة بوردو في إنديانا.

الهجوم العدائي البصري (OPAD)، كما هو مقترح في الورقة، يستخدم الإضاءة المنظمة لتعديل مظهر الأشياء المستهدفة، ويتطلب فقط مشروعًا تجاريًا، وكاميرا، وكمبيوتر. كان الباحثون قادرين على تنفيذ هجمات بيضاء و سوداء بنجاح باستخدام هذه التقنية.

إعداد OPAD، والتشوهات التي يتم تصورها بشكل ضعيف (من قبل الأشخاص) والتي تكفي ل gây تشويش.

إعداد OPAD، والتشوهات التي يتم تصورها بشكل ضعيف (من قبل الأشخاص) والتي تكفي ل gây تشويش.

يتكون إعداد OPAD من مشروع ViewSonic 3600 Lumens SVGA، وكاميرا Canon T6i، وكمبيوتر محمول.

الهجمات السوداء والهجمات المستهدفة

الهجمات البيضاء هي سيناريوهات غير محتملة حيث قد يكون المهاجم لديه وصول مباشر إلى إجراء نموذج التدريب أو إلى حوكمة بيانات الإدخال. الهجمات السوداء، من ناحية أخرى، يتم صياغتها عادةً من خلال الاستدلال عن كيفية组еть نظام التعلم الآلي، أو على الأقل كيف يسلك، وإنشاء نماذج “ظل”، وتنمية هجمات عدائية مصممة للعمل على النموذج الأصلي.

نرى هنا مقدار الاضطراب البصري اللازم لخداع المصنف.

نرى هنا مقدار الاضطراب البصري اللازم لخداع المصنف.

في الحالة الأخيرة، لا يُطلب وصول خاص، على الرغم من أن هذه الهجمات تُعزز بشكل كبير من قبل انتشار مكتبات و قواعد البيانات المفتوحة المصدر في البحث الأكاديمي و التجاري الحالي.

جميع هجمات OPAD المذكورة في الورقة الجديدة هي هجمات “مستهدفة”، تسعى بشكل خاص إلى تغيير كيفية تفسير أشياء معينة. على الرغم من أن النظام قد أظهر أيضًا قدرته على تحقيق هجمات مجردة ومعممة، يُدعي الباحثون أن مهاجمًا حقيقيًا سيكون لديه هدف تشويش أكثر تحديدًا.

الهجوم OPAD هو ببساطة نسخة حقيقية من المبدأ المتكرر لإدخال الضوضاء في الصور التي سيتم استخدامها في أنظمة الرؤية الحاسوبية. قيمة النهج هي أن يمكنك ببساطة “توجيه” الاضطرابات على الكائن المستهدف لتحفيز التشويش، بينما يصعب ضمان أن تصل الصور “الخيل التروجان” إلى عملية التدريب.

في حالة OPAD التي تمكنت من فرض معنى الصورة “سرعة 30” في قاعدة بيانات على لافتة “STOP”، تم الحصول على الصورة الأساسية من خلال إضاءة الكائن بشكل موحد عند شدة 140/255. ثم تم تطبيق الإضاءة المُحسنة بواسطة مشروع توجيه الهجوم المنحدر.

أمثلة على هجمات OPAD لتشويش التصنيف.

يلاحظ الباحثون أن التحدي الرئيسي للمشروع كان في ضبط وضبط آليات المشروع حتى تحقق خداعًا نظيفًا، منذ أن كانت الزوايا والبصريات والعوامل الأخرى تحديًا للاستغلال.

علاوة على ذلك، من المرجح أن يعمل النهج فقط في الليل. سواء كانت الإضاءة الواضحة تكشف عن “الاختراق” هو أيضًا عامل؛ إذا كانت لافتة مثل لافتة توقف已经 مضاءة، يجب على المشروع تعويض الإضاءة، ويجب أن تكون كمية الاضطراب المنعكسة مقاومة لأضواء السيارات. يبدو أن نظامًا سيعمل بشكل أفضل في البيئات الحضرية، حيث من المحتمل أن تكون الإضاءة البيئية أكثر استقرارًا.

البحث يبني بشكل فعال نسخة منحدرة من بحث جامعة كولومبيا لعام 2004 حول تغيير مظهر الأشياء من خلال توجيه صور أخرى عليها – وهو تجربة بصرية تفتقر إلى الإمكانات الخبيثة ل OPAD.

في الاختبار، تمكنت OPAD من خداع المصنف في 31 من 64 هجومًا – بمعدل نجاح 48٪. يلاحظ الباحثون أن معدل النجاح يعتمد بشكل كبير على نوع الكائن الذي يتم مهاجمته. السطوح المتنقلة أو المنحنية (مثل الدب الطفل والكوب على التوالي) لا يمكن أن توفر انعكاسًا مباشرًا كافياً لتنفيذ الهجوم. من ناحية أخرى، السطوح المسطحة الت phảnسية المتعمدة مثل لافتات الطريق هي بيئات مثالية لتشويش OPAD.

مساحات الهجوم المفتوحة المصدر

تم تنفيذ جميع الهجمات ضد مجموعة معينة من قواعد البيانات: قاعدة بيانات التعرف على لافتات المرور الألمانية (GTSRB، تسمى GTSRB-CNN في الورقة الجديدة)، والتي تم استخدامها لتدريب النموذج لهجوم مشابه في عام 2018؛ قاعدة بيانات ImageNet VGG16؛ وقاعدة بيانات ImageNet Resnet-50.

فهل هذه الهجمات “نظرية فقط”، لأنها تستهدف قواعد بيانات مفتوحة المصدر، وليس الأنظمة المملوكة في المركبات ذاتية القيادة؟ سيكونوا كذلك، إذا لم يعتمد الأذرع البحثية الرئيسية على البنية التحتية مفتوحة المصدر، بما في ذلك الخوارزميات وقواعد البيانات، وبدلاً من ذلك عملوا بسرية لإنتاج قواعد بيانات مغلقة و خوارزميات التعرف غير واضحة.

ولكن بشكل عام، هذا ليس كيفية عمل الأشياء. تصبح مجموعات البيانات الرائدة بمثابة معايير لقياس جميع التقدم (والاحترام / الشهرة) الذي يصبح مقاسًا، بينما تقود أنظمة التعرف على الصور مفتوحة المصدر مثل سلسلة YOLO إلى الأمام، من خلال التعاون العالمي الشائع، أي نظام مغلق يُطوّر داخليًا يعمل على مبادئ متشابهة.

التعرض FOSS

حتى عندما سيتم استبدال البيانات في إطار الرؤية الحاسوبية في النهاية ببيانات مغلقة تمامًا، فإن أوزان النماذج “الخالية” لا تزال يتم ضبطها بشكل شائع في المراحل الأولى من التطوير بواسطة بيانات FOSS التي لن يتم التخلص منها أبدًا – مما يعني أن الأنظمة الناتجة يمكن أن تُستهدف بشكل محتمل بواسطة طرق FOSS.

علاوة على ذلك، يتيح الاعتماد على نهج مفتوح المصدر لأنظمة الرؤية الحاسوبية من هذا القبيل للشركات الخاصة أن تتمتع بابتكارات فرعية من مشاريع بحثية عالمية أخرى، مما يضيف حافزًا ماليًا للحفاظ على الهيكل القابل للوصول. بعد ذلك يمكنهم محاولة إغلاق النظام فقط عند نقطة التسويق، وبذلك يتم دمج مجموعة كاملة من المعايير القابلة للاستدلال FOSS بشكل عميق فيه.

mm

كاتب في تعلم الآلة، متخصص في مجال 합성 الصور البشرية. السابق رئيس محتوى البحث في Metaphysic.ai.
الsite الشخصي: martinanderson.ai
التواصل: [email protected]
تويتر: @manders_ai