Serangan Adversarial Optik Dapat Mengubah Makna Rambu Lalu Lintas

Peneliti di AS telah mengembangkan serangan adversarial terhadap kemampuan sistem pembelajaran mesin untuk menafsirkan dengan benar apa yang mereka lihat – termasuk item kritis seperti rambu lalu lintas – dengan menyinari cahaya berpola ke objek dunia nyata. Dalam satu eksperimen, pendekatan ini berhasil menyebabkan makna rambu lalu lintas ‘STOP’ diubah menjadi rambu batas kecepatan ’30mph’.

Perturbasi pada tanda, yang dibuat dengan menyinari cahaya yang dibuat pada objek, mengubah bagaimana tanda itu ditafsirkan dalam sistem pembelajaran mesin. Sumber: https://arxiv.org/pdf/2108.06247.pdf

Penelitian ini berjudul Serangan Adversarial Optik, dan berasal dari Purdue University di Indiana.

Serangan Adversarial Optik (OPAD), seperti yang diusulkan dalam makalah ini, menggunakan iluminasi terstruktur untuk mengubah penampilan objek target, dan hanya memerlukan proyektor komoditas, kamera, dan komputer. Peneliti berhasil melakukan serangan putih dan hitam dengan menggunakan teknik ini.

Setelan OPAD, dan distorsi yang minim dirasakan oleh orang yang cukup untuk menyebabkan kesalahan klasifikasi.

Setelan untuk OPAD terdiri dari proyektor ViewSonic 3600 Lumens SVGA, kamera Canon T6i, dan laptop komputer.

Serangan Kotak Hitam dan Target

Serangan putih tidak mungkin terjadi karena penyerang mungkin memiliki akses langsung ke prosedur pelatihan model atau ke pengelolaan data input. Serangan kotak hitam, di sisi lain, biasanya dirumuskan dengan menginferensi bagaimana sistem pembelajaran mesin disusun, atau setidaknya bagaimana ia berperilaku, membuat ‘model bayangan’, dan mengembangkan serangan adversarial yang dirancang untuk bekerja pada model asli.

Di sini kita melihat jumlah perturbasi visual yang diperlukan untuk menipu klasifikasi.

Dalam kasus terakhir, tidak diperlukan akses khusus, meskipun serangan tersebut sangat dibantu oleh ketersediaan perpustakaan penglihatan komputer sumber terbuka dan basis data dalam penelitian akademis dan komersial saat ini.

Semua serangan OPAD yang diuraikan dalam makalah baru ini adalah serangan ‘target’, yang secara khusus mencari untuk mengubah bagaimana objek tertentu ditafsirkan. Meskipun sistem ini juga telah terbukti mampu mencapai serangan abstrak umum, peneliti berpendapat bahwa penyerang dunia nyata akan memiliki tujuan gangguan yang lebih spesifik.

Serangan OPAD hanya merupakan versi dunia nyata dari prinsip yang sering diteliti tentang menyuntikkan kebisingan ke dalam gambar yang akan digunakan dalam sistem penglihatan komputer. Nilai dari pendekatan ini adalah bahwa seseorang dapat hanya ‘memproyeksikan’ perturbasi ke objek target untuk memicu kesalahan klasifikasi, sedangkan memastikan bahwa gambar ‘Trojan horse’ berakhir dalam proses pelatihan adalah lebih sulit untuk dicapai.

Dalam kasus di mana OPAD dapat memaksakan makna ‘kecepatan 30’ gambar dalam dataset ke tanda ‘STOP’, gambar baseline diperoleh dengan menerangi objek secara seragam pada intensitas 140/255. Kemudian iluminasi yang dikompensasi proyektor diterapkan sebagai serangan gradien turun yang diproyeksikan.

Contoh serangan kesalahan klasifikasi OPAD.

Peneliti mengamati bahwa tantangan utama proyek ini telah menjadi kalibrasi dan pengaturan mekanisme proyektor sehingga mencapai ‘penipuan’ yang bersih, karena sudut, optik, dan beberapa faktor lainnya merupakan tantangan bagi eksploitasi.

Selain itu, pendekatan ini hanya mungkin berfungsi pada malam hari. Apakah iluminasi yang jelas akan mengungkapkan ‘peretasan’ juga merupakan faktor; jika objek seperti tanda sudah diterangi, proyektor harus mengkompensasi iluminasi tersebut, dan jumlah perturbasi yang dipantulkan juga perlu resisten terhadap lampu depan. Sepertinya ini adalah sistem yang akan berfungsi paling baik di lingkungan perkotaan, di mana pencahayaan lingkungan kemungkinan lebih stabil.

Penelitian ini secara efektif membangun iterasi berorientasi ML dari penelitian 2004 Universitas Columbia tentang mengubah penampilan objek dengan memproyeksikan gambar lain ke atasnya – sebuah eksperimen berbasis optik yang tidak memiliki potensi jahat dari OPAD.

Dalam pengujian, OPAD dapat menipu klasifikasi untuk 31 dari 64 serangan – tingkat keberhasilan 48%. Peneliti mencatat bahwa tingkat keberhasilan sangat bergantung pada jenis objek yang diserang. Permukaan yang berbintik-bintik atau melengkung (seperti, masing-masing, beruang teddy dan cangkir) tidak dapat menyediakan reflektivitas langsung yang cukup untuk melakukan serangan. Di sisi lain, permukaan datar yang sengaja reflektif seperti rambu lalu lintas adalah lingkungan yang ideal untuk distorsi OPAD.

Permukaan Serangan Sumber Terbuka

Semua serangan dilakukan terhadap set dataset tertentu: Basis Data Pengenalan Tanda Lalu Lintas Jerman (GTSRB, disebut GTSRB-CNN dalam makalah baru); yang digunakan untuk melatih model untuk skenario serangan serupa pada 2018; dataset ImageNet VGG16; dan dataset ImageNet Resnet-50.

Jadi, apakah serangan ini ‘hanya teoretis’, karena mereka ditujukan pada dataset sumber terbuka, dan tidak pada sistem tertutup dalam kendaraan otonom? Mereka akan, jika lengan penelitian utama tidak bergantung pada ekosistem sumber terbuka, termasuk algoritma dan dataset, dan sebaliknya bekerja dalam rahasia untuk menghasilkan dataset dan algoritma pengenalan yang tidak transparan.

Tapi secara umum, itu tidaklah demikian. Dataset landmark menjadi acuan yang digunakan untuk mengukur semua kemajuan (dan reputasi/pengakuan) yang diperoleh, sedangkan sistem pengenalan gambar sumber terbuka seperti seri YOLO melampaui, melalui kerja sama global, setiap sistem tertutup yang dikembangkan untuk beroperasi pada prinsip yang sama.

Paparan FOSS

Bahkan jika data dalam kerangka penglihatan komputer akhirnya akan digantikan dengan data tertutup sepenuhnya, bobot model ‘kosong’ masih sering dikalibrasi pada tahap awal pengembangan oleh data FOSS yang tidak pernah sepenuhnya dibuang – yang berarti bahwa sistem yang dihasilkan dapat berpotensi ditargetkan oleh metode FOSS.

Selain itu, mengandalkan pendekatan sumber terbuka untuk sistem CV ini membuat perusahaan swasta dapat memanfaatkan, secara gratis, inovasi cabang dari proyek penelitian global lainnya, menambah insentif keuangan untuk menjaga arsitektur yang dapat diakses. Setelah itu mereka dapat mencoba menutup sistem hanya pada titik komersialisasi, yang pada saat itu sebuah array metrik FOSS yang dapat diinferensi telah terintegrasi secara mendalam.