cybersecurity
การโจมตีจากฝ่ายตรงข้ามด้วยแสงสามารถเปลี่ยนความหมายของป้ายจราจรได้
นักวิจัยในสหรัฐอเมริกาได้พัฒนาการโจมตีฝ่ายตรงข้ามต่อความสามารถของระบบการเรียนรู้ของเครื่องจักรในการตีความสิ่งที่พวกเขาเห็นอย่างถูกต้อง รวมถึงรายการที่สำคัญต่อภารกิจ เช่น ป้ายถนน โดยการฉายแสงที่มีลวดลายไปยังวัตถุในโลกแห่งความเป็นจริง ในการทดลองครั้งหนึ่ง วิธีการดังกล่าวประสบความสำเร็จในการทำให้ความหมายของป้ายริมถนน "STOP" เปลี่ยนมาเป็นป้ายจำกัดความเร็วที่ "30 ไมล์ต่อชั่วโมง"
การก่อกวนบนป้ายซึ่งเกิดจากการฉายแสงที่ประดิษฐ์ขึ้นบนป้ายนั้น บิดเบือนการตีความหมายในระบบแมชชีนเลิร์นนิง ที่มา: https://arxiv.org/pdf/2108.06247.pdf
พื้นที่ การวิจัย มีสิทธิได้รับ การโจมตีฝ่ายตรงข้ามด้วยแสงและมาจากมหาวิทยาลัย Purdue ในรัฐอินเดียนา
OPtical ADversarial Attack (OPAD) ตามที่เสนอในเอกสารนี้ ใช้การส่องสว่างแบบมีโครงสร้างเพื่อปรับเปลี่ยนรูปลักษณ์ของวัตถุเป้าหมาย และต้องการเพียงเครื่องฉายภาพสินค้า กล้อง และคอมพิวเตอร์ นักวิจัยสามารถโจมตีทั้งกล่องขาวและกล่องดำได้สำเร็จโดยใช้เทคนิคนี้
การตั้งค่า OPAD และการบิดเบือนที่ผู้คนรับรู้น้อยที่สุด (โดยผู้คน) ซึ่งเพียงพอที่จะทำให้เกิดการจำแนกประเภทผิด.
การตั้งค่าสำหรับ OPAD ประกอบด้วยโปรเจคเตอร์ ViewSonic 3600 Lumens SVGA, กล้อง Canon T6i และคอมพิวเตอร์แล็ปท็อป
กล่องดำและการโจมตีเป้าหมาย
การโจมตีด้วยกล่องขาวเป็นสถานการณ์ที่ไม่น่าเป็นไปได้ที่ผู้โจมตีอาจเข้าถึงโดยตรงไปยังขั้นตอนแบบจำลองการฝึกอบรมหรือการกำกับดูแลข้อมูลอินพุต ในทางกลับกัน การโจมตีด้วยกล่องดำมักกำหนดขึ้นโดยการอนุมานว่าการเรียนรู้ของเครื่องมีองค์ประกอบอย่างไร หรืออย่างน้อยก็มีพฤติกรรมอย่างไร การสร้างแบบจำลอง 'เงา' และพัฒนาการโจมตีจากฝ่ายตรงข้ามที่ออกแบบมาเพื่อทำงานกับแบบจำลองดั้งเดิม
ที่นี่เราเห็นจำนวนของการรบกวนทางสายตาที่จำเป็นในการหลอก classifiเอ้อ
ในกรณีหลังนี้ ไม่จำเป็นต้องมีการเข้าถึงเป็นพิเศษ แม้ว่าการโจมตีดังกล่าวจะได้รับความช่วยเหลืออย่างมากจากความแพร่หลายของไลบรารีคอมพิวเตอร์วิทัศน์แบบโอเพ่นซอร์สและฐานข้อมูลในการวิจัยทางวิชาการและเชิงพาณิชย์ในปัจจุบัน
การโจมตี OPAD ทั้งหมดที่ระบุไว้ในเอกสารฉบับใหม่เป็นการโจมตีแบบ 'กำหนดเป้าหมาย' ซึ่งพยายามเปลี่ยนแปลงวิธีตีความวัตถุบางอย่างโดยเฉพาะ แม้ว่าระบบจะได้รับการพิสูจน์แล้วว่าสามารถบรรลุการโจมตีทั่วไปที่เป็นนามธรรมได้ แต่นักวิจัยยืนยันว่าผู้โจมตีในโลกแห่งความเป็นจริงจะมีวัตถุประสงค์ก่อกวนที่เจาะจงกว่านั้น
การโจมตี OPAD เป็นเพียงหลักการในโลกแห่งความเป็นจริงของหลักการการฉีดสัญญาณรบกวนในภาพที่จะใช้ในระบบการมองเห็นของคอมพิวเตอร์ คุณค่าของวิธีการคือเราสามารถ 'ฉายภาพ' สิ่งก่อกวนไปยังวัตถุเป้าหมายเพื่อกระตุ้นการจัดประเภทที่ผิด ในขณะที่การทำให้มั่นใจว่าภาพ 'ม้าโทรจัน' จะจบลงในกระบวนการฝึกอบรมนั้นค่อนข้างยากที่จะบรรลุผลสำเร็จ
ในกรณีที่ OPAD สามารถใส่ความหมายแฮชของภาพ 'speed 30' ในชุดข้อมูลลงบนเครื่องหมาย 'STOP' ภาพพื้นฐานได้มาจากการให้แสงแก่วัตถุอย่างสม่ำเสมอที่ความเข้ม 140/255 จากนั้นใช้การฉายแสงที่ชดเชยด้วยโปรเจ็กเตอร์ในการฉาย การโจมตีไล่ระดับสี.
ตัวอย่างของการโจมตีด้วยการจัดประเภทที่ไม่ถูกต้องของ OPAD
นักวิจัยตั้งข้อสังเกตว่าความท้าทายหลักของโครงการคือการปรับเทียบและตั้งค่ากลไกของโปรเจ็กเตอร์เพื่อให้ได้ 'การหลอกลวง' ที่สะอาดหมดจด เนื่องจากมุม เลนส์ และปัจจัยอื่นๆ หลายอย่างเป็นความท้าทายต่อการใช้ประโยชน์
นอกจากนี้ วิธีการนี้น่าจะได้ผลเฉพาะตอนกลางคืนเท่านั้น การส่องสว่างที่ชัดเจนจะเปิดเผย 'การแฮ็ก' ก็เป็นปัจจัยเช่นกัน หากวัตถุ เช่น ป้าย สว่างอยู่แล้ว โปรเจ็กเตอร์จะต้องชดเชยแสงนั้น และปริมาณของการรบกวนที่สะท้อนกลับจะต้องทนต่อไฟหน้าด้วย ดูเหมือนจะเป็นระบบที่จะทำงานได้ดีที่สุดในสภาพแวดล้อมในเมือง ซึ่งแสงแวดล้อมมีแนวโน้มที่จะเสถียรกว่า
การวิจัยสร้างการทำซ้ำที่มุ่งเน้น ML ของมหาวิทยาลัยโคลัมเบียได้อย่างมีประสิทธิภาพ การวิจัย 2004 เป็นการเปลี่ยนรูปลักษณ์ของวัตถุโดยการฉายภาพอื่นๆ ลงบนวัตถุเหล่านั้น ซึ่งเป็นการทดลองแบบใช้เลนส์ซึ่งขาดศักยภาพในการก่อมะเร็งของ OPAD
ในการทดสอบ OPAD สามารถหลอกลักษณนามสำหรับการโจมตี 31 ครั้งจาก 64 ครั้ง – อัตราความสำเร็จ 48% นักวิจัยทราบว่าอัตราความสำเร็จนั้นขึ้นอยู่กับประเภทของวัตถุที่ถูกโจมตีเป็นอย่างมาก พื้นผิวที่มีรอยด่างหรือโค้ง (เช่น ตุ๊กตาหมีและแก้วตามลำดับ) ไม่สามารถให้แสงสะท้อนโดยตรงเพียงพอที่จะทำการโจมตีได้ ในทางกลับกัน พื้นผิวเรียบสะท้อนแสงโดยเจตนา เช่น ป้ายถนน เป็นสภาพแวดล้อมที่เหมาะสำหรับการบิดเบือน OPAD
พื้นผิวการโจมตีแบบโอเพ่นซอร์ส
การโจมตีทั้งหมดดำเนินการกับชุดฐานข้อมูลเฉพาะ: ฐานข้อมูลการรับรู้ป้ายจราจรของเยอรมัน (จีทีเอสอาร์บีที่เรียกว่า GTSRB-CNN ในรายงานฉบับใหม่) ซึ่งใช้ในการฝึกโมเดลสำหรับ สถานการณ์การโจมตีที่คล้ายกันในปี 2018; อิมเมจเน็ต วีจีจี16 ชุดข้อมูล; และ ImageNet เรสเน็ต-50 ตั้ง
ดังนั้น การโจมตีเหล่านี้จึง 'เป็นเพียงเชิงทฤษฎี' เนื่องจากพวกเขามุ่งเป้าไปที่ชุดข้อมูลโอเพ่นซอร์ส ไม่ใช่ที่ระบบปิดที่เป็นกรรมสิทธิ์ในยานยนต์ไร้คนขับ พวกเขาจะเป็นเช่นนั้นหากกลุ่มวิจัยหลักไม่พึ่งพาโครงสร้างระบบนิเวศแบบโอเพ่นซอร์ส ซึ่งรวมถึงอัลกอริทึมและชุดข้อมูล และแทนที่จะเก็บเป็นความลับเพื่อสร้างชุดข้อมูลแบบโอเพ่นซอร์สและอัลกอริทึมการรู้จำแบบทึบ
แต่โดยทั่วไปแล้ว นั่นไม่ใช่วิธีการทำงาน ชุดข้อมูลหลักกลายเป็นเกณฑ์มาตรฐานซึ่งวัดความก้าวหน้าทั้งหมด (และความเคารพนับถือ/ยกย่องชมเชย) ในขณะที่ระบบรู้จำภาพแบบโอเพ่นซอร์ส เช่น ซีรีส์ YOLO ก้าวไปข้างหน้า ผ่านความร่วมมือระดับโลกร่วมกัน ระบบปิดที่พัฒนาภายในและตั้งใจทำงานบนหลักการที่คล้ายคลึงกัน .
การเปิดรับ FOSS
แม้ว่าในที่สุดข้อมูลในเฟรมเวิร์กวิทัศน์ของคอมพิวเตอร์จะถูกแทนที่ด้วยข้อมูลที่ปิดทั้งหมด น้ำหนักของแบบจำลอง 'ว่างออก' ยังคงได้รับการสอบเทียบบ่อยครั้งในช่วงเริ่มต้นของการพัฒนาโดยข้อมูล FOSS ซึ่งจะไม่ถูกละทิ้งโดยสิ้นเชิง ซึ่งหมายความว่า ระบบที่เป็นผลลัพธ์อาจถูกกำหนดเป้าหมายโดยวิธี FOSS
นอกจากนี้ การพึ่งพาแนวทางแบบโอเพ่นซอร์สกับระบบ CV ในลักษณะนี้ทำให้บริษัทเอกชนสามารถใช้ประโยชน์จากนวัตกรรมแบบแตกสาขาจากโครงการวิจัยระดับโลกอื่นๆ ได้ โดยเพิ่มแรงจูงใจทางการเงินเพื่อให้สถาปัตยกรรมสามารถเข้าถึงได้ หลังจากนั้นพวกเขาสามารถพยายามปิดระบบได้เฉพาะเมื่อเริ่มทำการค้า ซึ่งเวลานั้นเมตริก FOSS ที่อนุมานได้ทั้งหมดจะฝังลึกอยู่ในระบบ
