La tua auto potrebbe non sapere quando fermarsi – Attacchi avversari contro veicoli autonomi
I veicoli autonomi presentano un sogno utopico di trasporto ad alta velocità, pulito ed efficiente. I giorni dei veicoli a guida autonoma potrebbero essere quasi alle porte, con aziende come Uber, Musk’s Tesla e la potenza di Google che cercano di essere i primi a mettere saldamente i veicoli a guida autonoma sulle strade per tutti da usare. Il principale punto critico con le auto a guida autonoma è la sicurezza: come possiamo garantire che queste macchine comprendano le complessità della guida e come saranno in grado di far fronte all’infinita varietà di scenari precedentemente non incontrati che sicuramente incontreranno?
Il computer al centro dell’auto
L’arrivo incombente di veicoli autonomi è dovuto in parte al recente successo dell’apprendimento automatico, in particolare dell’apprendimento profondo. Mentre i computer continuano a ridursi mentre contemporaneamente aumentano di potenza , gli informatici hanno fatto passi da gigante in aree come la visione artificiale. L’apprendimento profondo consente a un computer di apprendere modelli da grandi volumi di dati, che può quindi utilizzare per il processo decisionale.
All’interno di un’auto a guida autonoma, un sistema di apprendimento approfondito elabora i dati in arrivo dall’array di sensori dell’auto e contribuisce al controllo di alto livello del veicolo. Un elemento del sistema di apprendimento profondo è la classificazione degli oggetti intorno all’auto, ad esempio l’identificazione di pedoni, ciclisti, segnali stradali ecc., Che consente di navigare in sicurezza e seguire le regole della strada.
Vulnerabilità nei sistemi di apprendimento profondo
Con i sistemi di apprendimento profondo fondamentalmente integrati nel sistema nervoso centrale di qualsiasi auto a guida autonoma, si spera che tali sistemi siano altamente precisi e robusti contro essere ingannati deliberatamente. Sfortunatamente, gli esperimenti hanno dimostrato che i sistemi di classificazione delle immagini di apprendimento profondo sono altamente sensibili agli attacchi contraddittori attentamente realizzati. Aggiungendo uno strato meticolosamente selezionato di rumore a un’immagine, è possibile causare un sistema di apprendimento profondo per classificare erroneamente un’immagine.
Gli Digital Adversarial Attacks confondono un sistema di Deep Learning con cambiamenti impercettibili (da OpenAI )
In un dominio digitale, un utente malintenzionato acquisisce un’immagine e un sistema di apprendimento profondo mirato, scruta i meccanismi interni del modello di apprendimento profondo e trasforma l’immagine in modo tale che il computer sia convinto che l’immagine ora mostri qualcosa di diverso. Ovviamente, l’attaccante potrebbe cambiare drasticamente l’immagine per alterare il risultato della classificazione di deep learning; la sfida è invece quella di modificare l’immagine il meno possibile o in modo tale da non essere percepibile dall’uomo, eppure la macchina sbaglia.
Gli attacchi avversari digitali sono anche efficaci nel confondere i sistemi di apprendimento profondo nelle automobili ( fonte )
Attacchi avversari fisici
In pratica, è abbastanza fattibile che gli attacchi digitali avversari vengano usati contro veicoli autonomi – un attaccante dovrebbe essere in grado di intercettare la trasmissione dai sensori dell’auto e perturbare l’immagine prima che venga trasmessa al sistema di apprendimento profondo. Un approccio molto più fattibile è quello di modificare l’ambiente fisico piuttosto che solo la sua percezione del veicolo. Manomettendo i segnali stradali, è possibile confondere un sistema di apprendimento profondo nel classificare erroneamente i segni, anche se rimangono perfettamente comprensibili per l’uomo. I ricercatori hanno fuorviato con successo i sistemi di classificazione dei segnali stradali nei veicoli reali , inducendo un’etichetta errata oltre l’84% delle volte utilizzando adesivi neri progettati per imitare i graffiti sui cartelli.
Esempi di attacchi avversari fisici sufficienti per confondere drasticamente un sistema di apprendimento profondo ( fonte )
Ci sono molte nuove sfide legate agli attacchi fisici. Poiché ci sono molti modi diversi in cui un oggetto può essere osservato, qualsiasi alterazione fisica funziona ancora a diversi angoli di visione e distanze. Le alterazioni devono anche essere abbastanza significative da essere rilevate da una telecamera – addio sottili strati di rumore utilizzati negli attacchi digitali avversari.
Tuttavia, il risultato di attacchi fisici è che ci aspettiamo che gli oggetti siano imperfetti – abbastanza spesso siamo abituati a vedere segni, adesivi e graffiti sui segnali stradali, ma siamo ancora in grado di identificarli correttamente e guidare in sicurezza. A differenza degli attacchi digitali, in cui l’obiettivo è quello di turbare l’immagine nel modo più sottile possibile, gli attacchi fisici hanno molto più spazio per le alterazioni.
Speranza per il futuro autonomo
Quindi, se vuoi che la tua auto sia in grado di leggere correttamente un segnale di stop, cosa si può fare? Rimuovere le perturbazioni di tutti i segni è un’opzione, ma è piuttosto un sovraccarico. Un approccio più ragionevole è quello di sviluppare sistemi di apprendimento automatico che siano robusti contro questo tipo di attacchi, principalmente addestrandoli a identificare correttamente esempi contraddittori – una sorta di terapia dell’esposizione. Sfortunatamente, i nostri astuti aggressori potrebbero semplicemente creare un altro metodo contraddittorio che il sistema non ha visto, anche se questa volta sarà più difficile per loro.
La ridondanza è una buona soluzione; il sistema di apprendimento profondo, sebbene molto importante, costituisce ancora solo una parte del sistema di controllo della vettura. Altri sistemi come il GPS possono essere utilizzati per verificare i risultati del sistema di apprendimento profondo – avrebbe senso fermarsi qui; quell’aumento del limite di velocità corrisponde ai dati del traffico stradale che ho? Sfortunatamente, ciò non copre elementi dinamici dell’ambiente come i pedoni, ma rimane un forte contrasto con gli esempi di manomissione dei segnali stradali.
Uno degli svantaggi della realizzazione di attacchi avversari è che spesso richiedevano modelli a scatola bianca: accesso ai meccanismi interni del modello come parametri specifici e architetture. Fortunatamente, queste caratteristiche sono altamente protette dai produttori di veicoli autonomi (sia per motivi di sicurezza sia perché sono il fiore all’occhiello dello sviluppo di veicoli autonomi), rendendo molto difficile l’accesso degli attaccanti per realizzare i loro attacchi. Tuttavia, sono in corso ricerche sugli attacchi avversari contro i modelli della scatola nera, quindi non siamo ancora del tutto fuori dal bosco. In definitiva, qualsiasi metodo che contribuisca ad aumentare la robustezza dei sistemi di apprendimento automatico utilizzati nelle auto a guida autonoma sarà una benedizione benvenuta.