ऑप्टिकल एडवर्सरियल अटैक रोड साइन्स के अर्थ को बदल सकता है

अमेरिका में शोधकर्ताओं ने मशीन लर्निंग सिस्टम की क्षमता के खिलाफ एक एडवर्सरियल अटैक विकसित किया है जो सही ढंग से वे जो देखते हैं उसकी व्याख्या कर सकते हैं – जिसमें मिशन-क्रिटिकल आइटम जैसे रोड साइन शामिल हैं – वास्तविक दुनिया की वस्तुओं पर पैटर्न वाले प्रकाश को चमकाकर। एक प्रयोग में, इस दृष्टिकोण ने ‘स्टॉप’ रोडसाइड साइन के अर्थ को ’30mph’ स्पीड लिमिट साइन में बदलने में सफलता प्राप्त की।

प्रतिबिंबों पर एक साइन, जो इसे चमकाकर बनाया गया है, मशीन लर्निंग सिस्टम में इसकी व्याख्या को विकृत करता है। स्रोत: https://arxiv.org/pdf/2108.06247.pdf

इस शोध का शीर्षक ऑप्टिकल एडवर्सरियल अटैक है, और यह इंडियाना के पुर्डू विश्वविद्यालय से आया है।

एक ऑप्टिकल एडवर्सरियल अटैक (ओपीएडी), जैसा कि पेपर में प्रस्तावित किया गया है, संरचित प्रकाश व्यवस्था का उपयोग लक्ष्य वस्तुओं की उपस्थिति को बदलने के लिए करता है, और इसके लिए केवल एक कमोडिटी प्रोजेक्टर, एक कैमरा और एक कंप्यूटर की आवश्यकता होती है। शोधकर्ताओं ने सफलतापूर्वक इस तकनीक का उपयोग करके व्हाइट-बॉक्स और ब्लैक-बॉक्स दोनों हमले किए।

ओपीएडी सेट-अप, और लोगों द्वारा कम से कम ध्यान देने योग्य विकृतियां जो एक मिस्क्लासिफिकेशन का कारण बनने के लिए पर्याप्त हैं।[/em]

ओपीएडी सेट-अप में एक व्यूसोनिक 3600 लुमेन्स एसवीजीए प्रोजेक्टर, एक कैनन टी6आई कैमरा और एक लैपटॉप कंप्यूटर शामिल हैं।

ब्लैक बॉक्स और टार्गेटेड अटैक

व्हाइट बॉक्स हमले असंभावित परिदृश्य हैं जहां एक हमलावर को सीधे प्रशिक्षण मॉडल प्रक्रिया या इनपुट डेटा के शासन तक पहुंच प्राप्त हो सकती है। ब्लैक बॉक्स हमले, इसके विपरीत, आमतौर पर मशीन लर्निंग की रचना का अनुमान लगाकर, या कम से कम इसके व्यवहार को समझकर, ‘शैडो’ मॉडल बनाकर और मूल मॉडल पर काम करने के लिए डिज़ाइन किए गए एडवर्सरियल हमलों को विकसित करके बनाए जाते हैं।

यहां हम क्लासिफायर को धोखा देने के लिए आवश्यक दृश्य विकृति की मात्रा देख सकते हैं।[/em]

बाद के मामले में, किसी विशेष पहुंच की आवश्यकता नहीं है, हालांकि ऐसे हमले वर्तमान शैक्षिक और व्यावसायिक अनुसंधान में ओपन सोर्स कंप्यूटर विजन लाइब्रेरी और डेटाबेस की सर्वव्यापकता से बहुत मदद प्राप्त करते हैं।

ओपीएडी हमलों में से सभी नए पेपर में ‘टार्गेटेड’ हमले हैं, जो विशिष्ट वस्तुओं की व्याख्या को बदलने का प्रयास करते हैं। हालांकि प्रणाली को सामान्यीकृत, अमूर्त हमलों को प्राप्त करने में सक्षम भी दिखाया गया है, शोधकर्ता तर्क देते हैं कि एक वास्तविक दुनिया के हमलावर का एक अधिक विशिष्ट विघटनकारी उद्देश्य होगा।

ओपीएडी हमला कंप्यूटर विजन सिस्टम में उपयोग की जाने वाली छवियों में शोर को इंजेक्ट करने के सिद्धांत का एक वास्तविक दुनिया संस्करण है। इस दृष्टिकोण का मूल्य यह है कि किसी को बस लक्ष्य वस्तु पर विकृतियों को ‘प्रोजेक्ट’ करने की आवश्यकता होती है ताकि मिस्क्लासिफिकेशन को ट्रिगर किया जा सके, जबकि ‘ट्रोजन हॉर्स’ छवियों को प्रशिक्षण प्रक्रिया में शामिल करना अधिक कठिन है।

जब ओपीएडी एक ‘स्टॉप’ साइन पर ‘स्पीड 30’ छवि के हैश्ड अर्थ को थोप सकता है, तो बेसलाइन छवि को 140/255 तीव्रता पर समान रूप से प्रकाशित करके प्राप्त किया गया था। फिर प्रोजेक्टर-मुआवजे वाली प्रकाश व्यवस्था को परियोजना के रूप में ग्रेडिएंट डिसेंट हमले के रूप में लागू किया गया था।

ओपीएडी मिस्क्लासिफिकेशन हमलों के उदाहरण।[/em]

शोधकर्ताओं का观察 है कि परियोजना का मुख्य चुनौती प्रोजेक्टर तंत्र को कैलिब्रेट और सेट करना है ताकि यह एक साफ ‘धोखा’ प्राप्त कर सके, क्योंकि कोण, ऑप्टिक्स और कई अन्य कारक इस शोषण के लिए एक चुनौती हैं।

इसके अलावा, यह दृष्टिकोण केवल रात में काम करने की संभावना है। चाहे स्पष्ट रूप से प्रकाशित ‘हैक’ का खुलासा हो या नहीं, यह भी एक कारक है; यदि एक वस्तु जैसे साइन पहले से ही प्रकाशित है, तो प्रोजेक्टर को उस प्रकाश व्यवस्था के लिए मुआवजा देना होगा, और परावर्तित विकृति को हेडलाइट्स के प्रतिरोधी होने की आवश्यकता है। यह एक ऐसी प्रणाली लगती है जो शहरी वातावरण में सबसे अच्छा काम करेगी, जहां पर्यावरणीय प्रकाश व्यवस्था अधिक स्थिर होने की संभावना है।

शोध प्रभावी रूप से कोलम्बिया विश्वविद्यालय के 2004 के शोध का एक एमएल-उन्मुख संस्करण बनाता है जो वस्तुओं की उपस्थिति को बदलने के लिए उन पर अन्य छवियों को प्रोजेक्ट करने में – एक ऑप्टिक्स-आधारित प्रयोग जो ओपीएडी की अप्रिय क्षमता से रहित है।

परीक्षण में, ओपीएडी 64 हमलों में से 31 को धोखा देने में सक्षम था – 48% की सफलता दर। शोधकर्ताओं का तर्क है कि सफलता दर हमले की जा रही वस्तु के प्रकार पर बहुत अधिक निर्भर करती है। मोटली या घुमावदार सतहें (जैसे कि क्रमशः एक टेडी बियर और एक मग) पर्याप्त सीधी परावर्तन प्रदान नहीं कर सकती हैं ताकि हमला किया जा सके। दूसरी ओर, जानबूझकर परावर्तन फ्लैट सतहें जैसे रोड साइन ओपीएडी विकृति के लिए आदर्श वातावरण हैं।

ओपन सोर्स अटैक सरफेस

सभी हमले विशिष्ट डेटाबेस के खिलाफ किए गए: जर्मन ट्रैफिक साइन रिकग्निशन डेटाबेस (जीटीएसआरबी, नए पेपर में जीटीएसआरबी-सीएनएन कहा जाता है), जिसका उपयोग मॉडल को प्रशिक्षित करने के लिए एक समान हमला परिदृश्य में 2018 में किया गया था; इमेजनेट वीजीजी16 डेटासेट; और इमेजनेट रेसनेट-50 सेट।

तो, क्या ये हमले ‘केवल सैद्धांतिक’ हैं, क्योंकि वे ओपन सोर्स डेटासेट पर लक्षित हैं, और स्वायत्त वाहनों में प्रोप्राइटरी क्लोज्ड सिस्टम पर नहीं? वे होंगे, अगर प्रमुख अनुसंधान शाखाएं ओपन सोर्स इकोस्ट्रक्चर, एल्गोरिदम और डेटासेट पर निर्भर नहीं करती हैं, और इसके बजाय बंद-सोर्स डेटासेट और अपारदर्शी मान्यता एल्गोरिदम का उत्पादन करने के लिए गुप्त रूप से काम करती हैं।

लेकिन一般, यह नहीं है कि यह कैसे काम करता है। लैंडमार्क डेटासेट उन बेंचमार्क के रूप में बन जाते हैं जिनके खिलाफ सभी प्रगति (और प्रतिष्ठा / प्रशंसा) का माप किया जाता है, जबकि ओपन सोर्स इमेज रिकग्निशन सिस्टम जैसे योलो श्रृंखला सामान्य वैश्विक सहयोग के माध्यम से समान सिद्धांतों पर काम करने वाले किसी भी आंतरिक रूप से विकसित, बंद-सोर्स सिस्टम से आगे निकल जाते हैं।

द फॉस एक्सपोजर

यहां तक कि जब कंप्यूटर विजन फ्रेमवर्क में डेटा अंततः पूरी तरह से बंद डेटा से बदल दिया जाएगा, तो ‘खाली’ मॉडल के वजन अभी भी अक्सर शुरुआती चरणों में फॉस डेटा द्वारा कैलिब्रेटेड होते हैं जो कभी भी पूरी तरह से त्यागने योग्य नहीं होंगे – जिसका अर्थ है कि परिणामी सिस्टम को फॉस विधियों द्वारा लक्षित किया जा सकता है।

इसके अलावा, कंप्यूटर विजन सिस्टम के लिए ओपन सोर्स दृष्टिकोण पर निर्भर करने से निजी कंपनियों को अन्य वैश्विक अनुसंधान परियोजनाओं से शाखाओं में नवाचार प्राप्त करने के लिए स्वतंत्र रूप से उपलब्ध होने की अनुमति मिलती है, जो वित्तीय प्रोत्साहन जोड़ती है ताकि वास्तुकला सुलभ रहे। इसके बाद वे केवल व्यावसायीकरण के बिंदु पर प्रणाली को बंद करने का प्रयास कर सकते हैं, जिस समय एक पूरे फॉस मेट्रिक्स का एक सरणी गहराई से इसमें निहित हो जाती है।