A New York állambeli Cornell egyetem kutatói DARTS (Deceiving Autonomous caRs with Toxic Signs – kb. autonóm járművek megtévesztése toxikus jelekkel) néven hivatkoznak azokra a direkt vagy indirekt támadásokra, amelyek az önvezető autók jelfelismerő rendszereit célozzák. Ezek a rendszerek értelemszerűen igen fontosak a sofőr nélküli járművek működésében: már a közlekedési táblák félreértelmezése is súlyos balesetekhez vezethet, nem beszélve arról, hogy nagyszabású kimaradásokat eredményezhet a technológiára épülő szolgáltatásokban.

Egyszerű trükkökkel megtéveszthető

A néhány nappal ezelőtt közzétett anyag egyrészt az olyan jelekre hívja fel a figyelmet, amelyek az emberi megfigyelő szemében változatlannak látszanak, néhány apró, alig észrevehető módosítással (tulajdonképpen egy szemmel nem jól látható réteggel, két kép összemosásával) azonban alkalmasak az MI-rendszerek megtévesztésére. Ezt a szabványos közlekedési táblák variánsai mellett egy KFC és egy Texaco logó szemlélteti, amelyeket a megfelelő módon meghekkeltek, hogy átverjék a jelfelismerő algoritmusokat.

A  fentieken, vagyis a "támadó szándékú táblákon" és a "logó alapú támadásokon" túl a kutatás azonosítja az olyan egyedi jelzéseket is, amelyek üres felületekre maszkolják rá a metévesztő ábrákat. Ennél is furább, amikor a jelzéseket eleve úgy készítik el, hogy a különböző betekintési szögekből (praktikusan az emberi sofőr/utas és a jármű tetején elhelyezkedő kamera szempontjából) más-más képet adjanak. Ahogy a hivatkozott dokumentumban is látszik, a lencselemezekhez hasonlóan itt is elérhető olyan hatás, hogy a sofőr egy sebességkorlátozó táblának higgye, amit a jármű előzési tilalomnak tekint.

Trükkök sem kellenek, a véletlen is elég

Az igazából nem is érdekes, hogy miért foglalkozna bárki is a közlekedési táblák buherálásával, mert a veszély ettől függetlenül valós: elég elképzelni, hogy mi történik, ha a jármű teljesen váratlanul egy hatalmasat fékez, hogy 130 km/h sebességről 30-ra lassítson egy kamu korlátozó tábla miatt. És ehhez még ártó szándék sem feltétlenül szükséges, hiszen ha jobban belegondolunk, az eredeti jelzéseket akár a táblák sérülései vagy korróziója is szerencsétlen módon megváltoztathatja.

Az egyetemi kutatók a kísérleteik során digitális és fizikai környezetben is 90 százalékos hatékonysággal verték át az MI-ket – még az olyan black-box felállásokban is, amikor a támadó szerepét játszó tudósok nem voltak vele tisztában, hogy pontosan milyen algoritmus ellen intézik a támadást. Ehhez hozzáteszik, hogy nem a 90, de még az 50 százalék is túl jó eredmény lenne, tekintve, hogy a támadóknak kevés eszközre (jelre) van szükségük, amelyeket kipróbálására számos lehetőségük adódik.

A szakemberek megoldásként a gépi tanuló algoritmusok célzott felkészítését javasolják az ilyen jellegű támadásokra, kézenfekvő módon egy nagy csomó minta legyártásával és feldolgozásával. Ezzel a módszerrel az általuk végzett kísérletek során a töredékére, néhány százalékosra szorították le a DARTS támadások sikerességét, ami egyelőre nem szünteti meg magát a problémát, mindössze annak hatásait segíthet mérsékelni.