Исследование: ввести в заблуждение автопилот способно банальное граффити

08 августа 2017, 17:18
Автор: Анатолий Гребенюк
Пока автопроизводители работают над защитой своих автомобилей от хакеров, исследователи из Университета Вашингтона продемонстрировали, можно заставить компьютерные системы автомобиля ошибочно идентифицировать дорожные знаки, используя не что иное, как наклейки, сделанные на домашнем принтере.

Специалист по компьютерной безопасности, профессор Йоши Коно описал алгоритм «атаки» на автономные системы вождения, в котором используются печатные изображения, прикрепленные к дорожным знакам. Так, небольшие наклейки на знаке «Стоп» заставили систему ошибочно идентифицировать его как знак ограничения скорости в 45 миль/час (72,4 км/час).


Системы «зрения» автономных автомобилей обычно используют детектор объектов, показывающий пешеходов, огни, знаки, другие транспортные средства и прочее, а классификатор решает, какой это объект и что говорят признаки. Компьютерные хакеры могут получить доступ к этому классификатору и путем изменения алгоритма и фотографий изменить классификацию объекта, в частности, дорожного знака.

Исследователи уже давно знают об этой угрозе. Но предыдущие атаки имели изменения, которые были либо слишком экстремальными, а, следовательно, очевидными для человека водителя, либо слишком тонкими, работающие только с определенного угла зрения или на определенном расстоянии. Как оказалось, не обязательно влезать в систему. Достаточно нанести на знак граффити или наклейки, чтобы система распознавала знак по-другому.

Алгоритмы, созданные Коно с коллегами из других университетов, основаны на печати на обычном цветном принтере наклеек, прикрепленных к существующим дорожным знакам. В одном случае они заклеили дорожный знак правого поворота полноразмерной копией, на котором стрелка выглядела пятнистой или поблекшей для глаз человека. Система компьютерного зрения идентифицировала его как знак ограничения скорости 45 миль/час.


Во втором случае исследователи наклеили на знак прямоугольные черно-белые полоски в хаотическом расположении и в выражениях «Love» и «Hate». Они также заставили компьютер видеть знак, как ограничивающий скорость в 45 миль в час. Проверка проводилась с различных расстояний и под разными углами зрения. Обмануть компьютер получилось в 73,3 процента случаев.

Опасность таких действий, которые исследователи называют «атаками», очевидна, ибо многие экспериментальные автомобили и некоторые транспортные средства уже оснащены системой распознавания знаков. Если таким образом удастся обмануть будущий автономный автомобиль, он может проехать перекресток, не пропустив транспорт, движущийся по главной, или наоборот, затормозить на скоростной полосе.

Как следует из эксперимента, разработчикам технологий автономного вождения автомобиля предстоит решить еще много проблем. Им придется использовать различные комбинации не только для защиты от хакеров, но, как видим, и от обычных хулиганов.


«Многие из этих атак можно преодолеть, используя контекстную информацию из карт и окружающей среды, - считает Тарек Эль-Гаали, старший научный сотрудник Voyage — стартапа, разрабатывающего автономные системы вождения. - К примеру, знак ограничения скорости «65 миль/час» не уместен в городе, как не имеет смысла знак остановки [«Стоп»] на шоссе. Кроме того, многие автономные транспортные средства сегодня оснащены множеством датчиков, поэтому отказоустойчивость может быть построена на использовании нескольких камер и лидарных датчиков».
РЕКОМЕНДУЕМ