Η Optical Adversarial Attack μπορεί να αλλάξει τη σημασία των οδικών πινακίδων

Ερευνητές στις ΗΠΑ ανέπτυξαν μια αντιφατική επίθεση κατά της ικανότητας των συστημάτων μηχανικής μάθησης να ερμηνεύουν σωστά αυτό που βλέπουν – συμπεριλαμβανομένων κρίσιμων στοιχείων, όπως οι πινακίδες κυκλοφορίας – φωτίζοντας με μοτίβο αντικείμενα του πραγματικού κόσμου. Σε ένα πείραμα, η προσέγγιση αυτή κατάφερε να μετατρέψει την έννοια μιας πινακίδας «STOP» στο δρόμο σε πινακίδα ορίου ταχύτητας «30 χλμ/ώρα».

Οι διαταραχές σε μια πινακίδα, που δημιουργούνται από την λάμψη επεξεργασμένου φωτός πάνω της, παραμορφώνουν τον τρόπο ερμηνείας της σε ένα σύστημα μηχανικής μάθησης. Πηγή: https://arxiv.org/pdf/2108.06247.pdf

The έρευνα έχει το δικαίωμα Optical Adversarial Attack, και προέρχεται από το Πανεπιστήμιο Purdue στην Ιντιάνα.

Μια επίθεση οπτικού αντιπάλου (OPAD), όπως προτείνεται από το έγγραφο, χρησιμοποιεί δομημένο φωτισμό για να αλλάξει την εμφάνιση των αντικειμένων-στόχων και απαιτεί μόνο έναν προβολέα εμπορευμάτων, μια κάμερα και έναν υπολογιστή. Οι ερευνητές κατάφεραν να αναλάβουν επιτυχώς επιθέσεις λευκού και μαύρου κουτιού χρησιμοποιώντας αυτή την τεχνική.

Η οργάνωση του ΟΠΑΔ και οι ελάχιστα αντιληπτές (από τους ανθρώπους) παραμορφώσεις που είναι επαρκείς για να προκαλέσουν εσφαλμένη ταξινόμηση.

Η ρύθμιση για το OPAD αποτελείται από έναν προβολέα ViewSonic 3600 Lumens SVGA, μια κάμερα Canon T6i και έναν φορητό υπολογιστή.

Μαύρο κουτί και στοχευμένες επιθέσεις

Οι επιθέσεις λευκού κουτιού είναι απίθανα σενάρια όπου ένας εισβολέας μπορεί να έχει άμεση πρόσβαση σε μια διαδικασία μοντέλου εκπαίδευσης ή στη διακυβέρνηση των δεδομένων εισόδου. Οι επιθέσεις μαύρου κουτιού, αντίθετα, συνήθως διατυπώνονται συμπεραίνοντας πώς συντίθεται μια μηχανική μάθηση ή τουλάχιστον πώς συμπεριφέρεται, δημιουργώντας μοντέλα «σκιάς» και αναπτύσσοντας αντίπαλες επιθέσεις σχεδιασμένες να λειτουργούν στο αρχικό μοντέλο.

Εδώ βλέπουμε την ποσότητα της οπτικής διαταραχής που είναι απαραίτητη για να ξεγελάσουμε την ταξινόμησηε.

Στην τελευταία περίπτωση, δεν απαιτείται ειδική πρόσβαση, αν και τέτοιες επιθέσεις βοηθούνται σε μεγάλο βαθμό από την πανταχού παρουσία βιβλιοθηκών και βάσεων δεδομένων υπολογιστή ανοιχτού κώδικα στην τρέχουσα ακαδημαϊκή και εμπορική έρευνα.

Όλες οι επιθέσεις OPAD που περιγράφονται στη νέα εργασία είναι «στοχευμένες» επιθέσεις, οι οποίες επιδιώκουν συγκεκριμένα να αλλάξουν τον τρόπο με τον οποίο ερμηνεύονται ορισμένα αντικείμενα. Αν και το σύστημα έχει επίσης αποδειχθεί ικανό να επιτυγχάνει γενικευμένες, αφηρημένες επιθέσεις, οι ερευνητές υποστηρίζουν ότι ένας εισβολέας στον πραγματικό κόσμο θα είχε έναν πιο συγκεκριμένο ανατρεπτικό στόχο.

Η επίθεση OPAD είναι απλώς μια πραγματική εκδοχή της συχνά ερευνώμενης αρχής της έγχυσης θορύβου σε εικόνες που θα χρησιμοποιηθούν σε συστήματα υπολογιστικής όρασης. Η αξία της προσέγγισης έγκειται στο ότι μπορεί κανείς απλώς να «προβάλει» τις διαταραχές στο αντικείμενο-στόχο προκειμένου να ενεργοποιήσει την εσφαλμένη ταξινόμηση, ενώ η διασφάλιση ότι οι εικόνες «Δούρειου Ίππου» θα καταλήξουν στη διαδικασία εκπαίδευσης είναι μάλλον πιο δύσκολο να επιτευχθεί.

Στην περίπτωση που το OPAD μπόρεσε να επιβάλει την κατακερματισμένη έννοια της εικόνας «ταχύτητα 30» σε ένα σύνολο δεδομένων σε μια πινακίδα «STOP», η βασική εικόνα λήφθηκε φωτίζοντας το αντικείμενο ομοιόμορφα με ένταση 140/255. Στη συνέχεια, εφαρμόστηκε φωτισμός αντισταθμισμένος από προβολέα ως προβαλλόμενος επίθεση κατάβασης με κλίση.

Παραδείγματα επιθέσεων εσφαλμένης ταξινόμησης ΟΠΑΔ.

Οι ερευνητές παρατηρούν ότι η κύρια πρόκληση του έργου ήταν η βαθμονόμηση και η ρύθμιση του μηχανισμού του προβολέα έτσι ώστε να επιτυγχάνεται μια καθαρή «εξαπάτηση», καθώς οι γωνίες λήψης, η οπτική και διάφοροι άλλοι παράγοντες αποτελούν πρόκληση για την εκμετάλλευση.

Επιπλέον, η προσέγγιση είναι πιθανό να λειτουργήσει μόνο τη νύχτα. Το αν ο προφανής φωτισμός θα αποκάλυπτε την «παραβίαση» είναι επίσης ένας παράγοντας. Εάν ένα αντικείμενο, όπως μια πινακίδα, είναι ήδη φωτισμένο, ο προβολέας πρέπει να αντισταθμίζει αυτόν τον φωτισμό και η ποσότητα της ανακλώμενης διαταραχής πρέπει επίσης να είναι ανθεκτική στους προβολείς. Φαίνεται ότι είναι ένα σύστημα που θα λειτουργούσε καλύτερα σε αστικά περιβάλλοντα, όπου ο περιβαλλοντικός φωτισμός είναι πιθανό να είναι πιο σταθερός.

Η έρευνα ουσιαστικά χτίζει μια επανάληψη του προγράμματος του Πανεπιστημίου Κολούμπια, προσανατολισμένη στη Μηχανική Μάθηση. Έρευνα 2004 στην αλλαγή της εμφάνισης των αντικειμένων προβάλλοντας άλλες εικόνες πάνω τους – ένα πείραμα βασισμένο στην οπτική που στερείται το κακόβουλο δυναμικό του OPAD.

Κατά τη δοκιμή, το OPAD κατάφερε να ξεγελάσει έναν ταξινομητή για 31 από τις 64 επιθέσεις – ποσοστό επιτυχίας 48%. Οι ερευνητές σημειώνουν ότι το ποσοστό επιτυχίας εξαρτάται σε μεγάλο βαθμό από τον τύπο του αντικειμένου που δέχεται επίθεση. Οι στίγματα ή οι καμπύλες επιφάνειες (όπως, αντίστοιχα, ένα αρκουδάκι και μια κούπα) δεν μπορούν να παρέχουν αρκετή άμεση ανακλαστικότητα για την εκτέλεση της επίθεσης. Από την άλλη πλευρά, οι επίπεδες επιφάνειες που ανακλούν επίτηδες, όπως τα οδικά σήματα είναι ιδανικά περιβάλλοντα για παραμόρφωση OPAD.

Επιφάνειες επίθεσης ανοιχτού κώδικα

Όλες οι επιθέσεις πραγματοποιήθηκαν εναντίον ενός συγκεκριμένου συνόλου βάσεων δεδομένων: τη γερμανική βάση δεδομένων αναγνώρισης σημάτων κυκλοφορίας (GTSRB, που ονομάζεται GTSRB-CNN στη νέα δημοσίευση), το οποίο χρησιμοποιήθηκε για την εκπαίδευση του μοντέλου για α παρόμοιο σενάριο επίθεσης το 2018; το ImageNet VGG16 σύνολο δεδομένων? και το ImageNet Resnet-50 ρυθμιστεί.

Είναι, λοιπόν, αυτές οι επιθέσεις «απλώς θεωρητικές», δεδομένου ότι στοχεύουν σε σύνολα δεδομένων ανοιχτού κώδικα και όχι στα ιδιόκτητα, κλειστά συστήματα σε αυτόνομα οχήματα; Θα ήταν, αν οι κύριοι ερευνητικοί βραχίονες δεν βασίζονταν στην οικοδομή ανοιχτού κώδικα, συμπεριλαμβανομένων των αλγορίθμων και των συνόλων δεδομένων, και αντ' αυτού μοχθούσαν κρυφά για να παράγουν σύνολα δεδομένων κλειστού κώδικα και αδιαφανείς αλγόριθμους αναγνώρισης.

Αλλά γενικά, δεν λειτουργεί έτσι. Τα σύνολα δεδομένων ορόσημων γίνονται τα σημεία αναφοράς έναντι των οποίων μετριέται κάθε πρόοδος (και εκτίμηση/αναγνώριση), ενώ τα συστήματα αναγνώρισης εικόνων ανοιχτού κώδικα, όπως η σειρά YOLO, προηγούνται, μέσω κοινής παγκόσμιας συνεργασίας, οποιουδήποτε εσωτερικά αναπτυγμένου, κλειστού συστήματος που προορίζεται να λειτουργεί με παρόμοιες αρχές.

Η έκθεση FOSS

Ακόμα και όταν τα δεδομένα σε ένα πλαίσιο υπολογιστικής όρασης τελικά θα αντικατασταθούν από εντελώς κλειστά δεδομένα, τα βάρη των «κενών» μοντέλων εξακολουθούν να βαθμονομούνται συχνά στα αρχικά στάδια ανάπτυξης από δεδομένα ΕΛ/ΛΑΚ (FOSS) τα οποία δεν θα απορριφθούν ποτέ εντελώς - πράγμα που σημαίνει ότι τα συστήματα που προκύπτουν μπορούν ενδεχομένως να στοχευθούν από μεθόδους ΕΛ/ΛΑΚ.

Επιπλέον, η βασική προσέγγιση ανοιχτού κώδικα σε συστήματα βιογραφικών αυτού του είδους καθιστά δυνατή για τις ιδιωτικές εταιρείες να επωφεληθούν, δωρεάν, από διακλαδισμένες καινοτομίες από άλλα παγκόσμια ερευνητικά έργα, προσθέτοντας ένα οικονομικό κίνητρο για να διατηρήσουν την αρχιτεκτονική προσβάσιμη. Στη συνέχεια, μπορούν να επιχειρήσουν να κλείσουν το σύστημα μόνο στο σημείο της εμπορευματοποίησης, οπότε μια ολόκληρη σειρά από συναγόμενες μετρήσεις FOSS είναι βαθιά ενσωματωμένα σε αυτό.