Továbbra is a számítógépes látás az önvezetés egyik gyenge pontja. A különböző, akár MI-alapú tárgyazonosítók, képosztályozók ugyanis máshogyan működnek, mint az emberi látás, és a számítógépes látás sokkal korlátozottabban képes értelmezni a kontextust. Ha az ember lát egy 30-as sebességkorlátozó táblát, amire ragasztottak egy matricát, azonnal felismeri: a tábla azt jelenti, hogy 30 km/h-ra kell(ene) lassítani az autóját, de azt is dekódolja, hogy valaki felragasztott rá egy matricát.

Az önvezető rendszerek közlekedési táblafelismerő rendszere (traffic sign recognition, TSR) azonban megzavarodhatnak egy célzottan „szennyezett” táblától. Ez persze nem újdonság: a McAffe öt éve kísérletekkel – konkrétan egy kis szigetelőszalag-darabkával – bizonyította, miért problémás, hogy a Tesla nem LiDAR szkennerekre, hanem csak kamerákra építi önvezetési koncepcióját.

Az azonban önmagában kevés a továbblépéshez, hogy a TSR rendszerek „látása” nem tökéletes. Irvine-i Kaliforniai Egyetem és a Drexel Egyetem munkatársai ezért azt próbálták megmérni, hogy a korábbi fizikai hekkek (matricák, szennyezést imitáló festés, tábla eltüntetése, a jelzésekre irányított fényminták stb.) milyen mértékben zavarhatják meg az autonóm járműveket.

A kutatócsoport a matricázást és a tábla „eltüntetését” vizsgálta. Egy algoritmussal hoztak létre olyan grafikai elemeket, melyek nagy valószínűséggel zavarják meg a TSR rendszereket, azaz növelik annak lehetőségét, hogy a tárgydetektor tévesen osztályozzon egy tárgyat. Magát az érdemi információt (STOP), azonban nem takarták le. (A táblákra ragasztott matricákat egy ember graffitinek vagy valami különleges fényjelenségnek értelmezné.) Az „eltüntetési” kísérletnél pedig azt vizsgálták, hogy mi történik akkor, ha a tábla első érzékelése után azt eltüntetik az autó látóteréből. Az első kísérletsorozat a megtévesztő információ (téves észlelés), míg a második az információhiány hatását vizsgálta.

A kutatók öt autót teszteltek, négy 2023-as (Tesla Model 3, Toyota Camry, Nissan Sentra, Mazda CX-30) és egy 202-es modellt (Hyundai Tucson). Azt azonban etikai okokból nem publikálták, hogy az egyes modellek melyik támadásra reagáltak érzékenyen.

Labor vs. valós forgalom

Bár a korábbi, laboratóriumi körülmények között elvégzett kísérletek szerint a TSR megtévesztésén alapuló támadások száz százalékban sikeresek voltak, a mostani kutatás szerint nem ilyen egyértelmű a helyzet: valódi közlekedési körülmények között (egy parkolóban zajlottak a tesztek) a sikeres „hekkelések” aránya sokkal kisebb volt. A megtévesztő ábrákat tartalmazó táblák valóban hatékonyak, de a tábla időleges eltüntetése már kevésbé, mert az autók képesek "térbeli memorizálásra”.

Utóbbit úgy vizsgálták, hogy a közlekedési táblát eltüntették, miután a jármű rendszere azt először érzékelte. Ezt azonban az táblák értelmezésére felkészített autók elég jól kivédték. Az ilyen TSR-ek ugyanis "emlékeztek" a tábla pozíciójára, és azt is érzékelték, hogy még nem haladtak el mellette, azaz a korábban látott tábla utasítását figyelembe kell venni. (Persze ez a működési mód más hekkelési módszerek előtt nyit utat.)

A témáról március 8-án a CIO Hungary konferencián Farkas Richárd, a Szegedi Tudományegyetem MI-kutatója tart előadást. Ha tagja a CIO Klubnak, keresse meghívóját személyes fiókjában!

_{(Illusztráció: AV & IoAT Security)}