آپٹیکل مخالفانہ حملہ سڑک کے نشانات کے معنی کو بدل سکتا ہے۔

امریکہ میں محققین نے مشین لرننگ سسٹمز کی اس قابلیت کے خلاف ایک مخالف حملہ تیار کیا ہے کہ وہ جو کچھ وہ دیکھتے ہیں اس کی صحیح ترجمانی کر سکتے ہیں - بشمول مشن کے لیے اہم اشیاء جیسے سڑک کے نشانات - نمونہ دار روشنی کو حقیقی دنیا کی اشیاء پر چمکا کر۔ ایک تجربے میں، نقطہ نظر سڑک کے کنارے 'STOP' نشان کے معنی کو '30mph' رفتار کی حد کے نشان میں تبدیل کرنے میں کامیاب ہوا۔

کسی نشانی پر گڑبڑ، جو اس پر تیار کی گئی روشنی سے پیدا ہوتی ہے، مشین لرننگ سسٹم میں اس کی تشریح کیسے کی جاتی ہے اس کو مسخ کر دیتی ہے۔ ماخذ: https://arxiv.org/pdf/2108.06247.pdf

۔ تحقیق حقدار ہے آپٹیکل مخالف حملہ، اور انڈیانا میں پرڈیو یونیورسٹی سے آتا ہے۔

ایک آپٹیکل ایڈورسریل اٹیک (OPAD)، جیسا کہ کاغذ کے ذریعہ تجویز کیا گیا ہے، ہدف اشیاء کی ظاہری شکل کو تبدیل کرنے کے لیے ساختی روشنی کا استعمال کرتا ہے، اور اس کے لیے صرف ایک کموڈٹی پروجیکٹر، ایک کیمرہ اور ایک کمپیوٹر کی ضرورت ہوتی ہے۔ محققین اس تکنیک کا استعمال کرتے ہوئے وائٹ باکس اور بلیک باکس دونوں حملوں کو کامیابی سے انجام دینے میں کامیاب رہے۔

OPAD سیٹ اپ، اور کم سے کم سمجھے جانے والے (لوگوں کے ذریعے) بگاڑ جو غلط درجہ بندی کا سبب بننے کے لیے کافی ہیں۔.

OPAD کے لیے سیٹ اپ ایک ViewSonic 3600 Lumens SVGA پروجیکٹر، ایک Canon T6i کیمرہ، اور ایک لیپ ٹاپ کمپیوٹر پر مشتمل ہے۔

بلیک باکس اور ٹارگٹڈ حملے

وائٹ باکس کے حملے ایسے منظرناموں کا امکان نہیں ہیں جہاں حملہ آور کو ٹریننگ ماڈل کے طریقہ کار یا ان پٹ ڈیٹا کی گورننس تک براہ راست رسائی حاصل ہو سکتی ہے۔ بلیک باکس کے حملے، اس کے برعکس، عام طور پر اس بات کا اندازہ لگا کر تیار کیے جاتے ہیں کہ مشین لرننگ کیسے بنتی ہے، یا کم از کم یہ کیسے برتاؤ کرتی ہے، 'شیڈو' ماڈل تیار کرتی ہے، اور اصل ماڈل پر کام کرنے کے لیے بنائے گئے مخالفانہ حملے تیار کرتی ہے۔

یہاں ہم کلاسیفائی کو بے وقوف بنانے کے لیے ضروری بصری ہنگامہ آرائی کی مقدار دیکھتے ہیں۔یر.

مؤخر الذکر صورت میں، کسی خاص رسائی کی ضرورت نہیں ہے، حالانکہ اس طرح کے حملوں کو موجودہ تعلیمی اور تجارتی تحقیق میں اوپن سورس کمپیوٹر ویژن لائبریریوں اور ڈیٹا بیس کی ہر جگہ مدد ملتی ہے۔

نئے پیپر میں بیان کیے گئے تمام OPAD حملے 'ٹارگٹڈ' حملے ہیں، جو خاص طور پر اس بات کو تبدیل کرنے کی کوشش کرتے ہیں کہ کچھ چیزوں کی تشریح کیسے کی جاتی ہے۔ اگرچہ نظام کو عام، تجریدی حملوں کو حاصل کرنے کے قابل بھی دکھایا گیا ہے، محققین کا کہنا ہے کہ ایک حقیقی دنیا کے حملہ آور کا زیادہ مخصوص تخریبی مقصد ہوگا۔

OPAD حملہ تصویروں میں شور کو انجیکشن لگانے کے اکثر تحقیق شدہ اصول کا ایک حقیقی دنیا کا ورژن ہے جو کمپیوٹر ویژن سسٹم میں استعمال کیا جائے گا۔ نقطہ نظر کی قدر یہ ہے کہ غلط درجہ بندی کو متحرک کرنے کے لیے کوئی بھی شخص ہدف آبجیکٹ پر محض 'پروجیکٹ' کر سکتا ہے، جبکہ اس بات کو یقینی بنانا کہ 'ٹروجن ہارس' کی تصاویر تربیتی عمل میں ختم ہو جائیں اس کو پورا کرنا زیادہ مشکل ہے۔

اس صورت میں جہاں OPAD ڈیٹاسیٹ میں 'اسپیڈ 30' امیج کے ہیشڈ معنی کو 'STOP' کے نشان پر مسلط کرنے کے قابل تھا، بیس لائن امیج کو 140/255 شدت پر یکساں طور پر آبجیکٹ کو روشن کر کے حاصل کیا گیا تھا۔ اس کے بعد پروجیکٹر سے معاوضہ والی روشنی کا تخمینہ لگایا گیا تھا۔ تدریجی نزول کا حملہ.

OPAD غلط درجہ بندی کے حملوں کی مثالیں۔

محققین کا مشاہدہ ہے کہ پروجیکٹ کا بنیادی چیلنج پروجیکٹر میکانزم کو کیلیبریٹ کرنا اور ترتیب دینا ہے تاکہ یہ ایک صاف 'فریب' حاصل کر سکے، کیونکہ زاویہ، آپٹکس اور دیگر کئی عوامل استحصال کے لیے ایک چیلنج ہیں۔

اس کے علاوہ، نقطہ نظر صرف رات کو کام کرنے کا امکان ہے. آیا واضح روشنی 'ہیک' کو ظاہر کرے گی یہ بھی ایک عنصر ہے۔ اگر کوئی شے جیسا کہ نشان پہلے سے روشن ہے، تو پروجیکٹر کو اس روشنی کی تلافی کرنی چاہیے، اور جھلکنے والی ہنگامہ خیزی کی مقدار کو بھی ہیڈلائٹس کے خلاف مزاحم ہونا چاہیے۔ ایسا لگتا ہے کہ یہ ایک ایسا نظام ہے جو شہری ماحول میں بہترین کام کرے گا، جہاں ماحولیاتی روشنی کے زیادہ مستحکم ہونے کا امکان ہے۔

تحقیق مؤثر طریقے سے کولمبیا یونیورسٹی کی ایم ایل پر مبنی تکرار تیار کرتی ہے۔ 2004 تحقیق اشیاء کی ظاہری شکل کو تبدیل کرنے کے لیے ان پر دیگر امیجز پروجیکٹ کرتے ہیں - ایک آپٹکس پر مبنی تجربہ جس میں OPAD کی خراب صلاحیت کا فقدان ہے۔

جانچ میں، او پی اے ڈی 31 میں سے 64 حملوں کے لیے ایک درجہ بندی کرنے والے کو بے وقوف بنانے میں کامیاب رہا - کامیابی کی شرح 48 فیصد۔ محققین نوٹ کرتے ہیں کہ کامیابی کی شرح کا انحصار اس بات پر ہے کہ کس چیز پر حملہ کیا جا رہا ہے۔ دبیز یا خمیدہ سطحیں (جیسے بالترتیب، ایک ٹیڈی بیئر اور ایک پیالا) حملہ کرنے کے لیے کافی براہ راست عکاسی فراہم نہیں کر سکتیں۔ دوسری طرف، جان بوجھ کر عکاس فلیٹ سطحیں جیسے کہ سڑک کے نشانات OPAD کی تحریف کے لیے مثالی ماحول ہیں۔

اوپن سورس اٹیک سرفیسز

تمام حملے ڈیٹا بیس کے ایک مخصوص سیٹ کے خلاف کیے گئے تھے: جرمن ٹریفک سائن ریکگنیشن ڈیٹا بیس (جی ٹی ایس آر بی، جسے نئے پیپر میں GTSRB-CNN کہا جاتا ہے) جو ماڈل کو تربیت دینے کے لیے استعمال کیا جاتا تھا۔ اسی طرح کے حملے کا منظر 2018 میں; امیج نیٹ وی جی جی 16 ڈیٹاسیٹ؛ اور امیج نیٹ Resnet-50 مقرر کیا ہے.

تو، کیا یہ حملے 'محض نظریاتی' ہیں، کیوں کہ ان کا مقصد اوپن سورس ڈیٹاسیٹس پر ہے، نہ کہ خود مختار گاڑیوں میں ملکیتی، بند نظاموں پر؟ وہ ہوں گے، اگر بڑے تحقیقی بازو اوپن سورس ایکو اسٹرکچر پر انحصار نہیں کرتے، بشمول الگورتھم اور ڈیٹاسیٹس، اور اس کے بجائے خفیہ طور پر بند سورس ڈیٹاسیٹس اور مبہم شناختی الگورتھم تیار کرنے کے لیے محنت کرتے۔

لیکن عام طور پر، ایسا نہیں ہوتا کہ یہ کیسے کام کرتا ہے۔ لینڈ مارک ڈیٹاسیٹس وہ معیار بن جاتے ہیں جن کے خلاف تمام پیشرفت (اور عزت/تعظیم) کی پیمائش ہو جاتی ہے، جبکہ اوپن سورس امیج ریکگنیشن سسٹم جیسے YOLO سیریز مشترکہ عالمی تعاون کے ذریعے، کسی بھی اندرونی طور پر تیار شدہ، بند نظام کے اسی اصولوں پر کام کرنے کا ارادہ رکھتے ہیں۔

FOSS کی نمائش

یہاں تک کہ جہاں کمپیوٹر ویژن فریم ورک میں ڈیٹا کو بالآخر مکمل طور پر بند ڈیٹا کے ساتھ بدل دیا جائے گا، 'خالی کیے گئے' ماڈلز کے وزن کو اب بھی FOSS ڈیٹا کے ذریعے ترقی کے ابتدائی مراحل میں کثرت سے کیلیبریٹ کیا جاتا ہے جسے کبھی بھی مکمل طور پر ضائع نہیں کیا جائے گا - جس کا مطلب ہے کہ نتیجے میں آنے والے سسٹمز کو ممکنہ طور پر FOSS طریقوں سے نشانہ بنایا جا سکتا ہے۔

مزید برآں، اس نوعیت کے CV سسٹمز کے لیے اوپن سورس اپروچ پر انحصار کرنا نجی کمپنیوں کے لیے یہ ممکن بناتا ہے کہ وہ خود کو دیگر عالمی تحقیقی منصوبوں سے برانچڈ اختراعات سے آزادانہ طور پر فائدہ اٹھا سکیں، اور فن تعمیر کو قابل رسائی رکھنے کے لیے مالی ترغیب کا اضافہ کریں۔ اس کے بعد وہ صرف کمرشلائزیشن کے مقام پر ہی سسٹم کو بند کرنے کی کوشش کر سکتے ہیں، اس وقت تک ناقص FOSS میٹرکس کی ایک پوری صف اس میں گہرائی سے سرایت کر جاتی ہے۔