Pokazalo se kako je moguće pomoću isprintanih naljepnica natjerati vizualni sustav autonomnog vozila da znak Stop pročita kao znak za ograničenje brzine
Istraživači pri američkim sveučilištima Washington, Michigan, Stony Brook i Berkeley otkrili su način kako hakirati autonomna vozila stavljanjem naljepnica na prometne znakove.
Krenuli su tako što su analizirali algoritam kojeg vizualni sustav koristi za klasifikaciju slika. Potom su upotrijebili više različitih napada kako bi manipulirali znakom te zavarali način na koji ih strojno učenje obrađuje kako bi ih sustav pogrešno pročitao.
Tako su pomoću isprintanih naljepnica uspjeli natjerati vizualni sustav autonomnog vozila da znak Stop pročita kao znak za ograničenje brzine.
U radu nazvanom Robust Physical-World Attacks on Machine Learning Models (Robusni napadi iz fizičkog svijeta na modele strojnog učenja) autori su pokazali četiri različita načina kako su uspjeli omesti strojeve u čitanju i klasificiranju prometnih znakova koristeći samo pisač u boji i kameru.
Ljudi ne vide, a strojeve zbunjuje
Posebno zabrinjava što su ti eksperimenti teško vidljivi ljudskom oku jer su zakrabuljeni kao grafiti, umjetnost ili uklopljeni u same znakove.
Prvi način predviđa printanje postera u punoj veličini kojim će znak biti prekriven, a koji ljudskom oku djeluje posve normalno, možda pomalo isprano na pojedinim mjestima. No, tijekom testiranja pod više kutova i na više raznih udaljenosti strojevi su u sto posto slučajeva pogrešno klasificirali znak Stop kao znak za ograničenje brzine.
Zbog naljepnica postavljenih na znak tako da oblikuju riječi love i hate (ljubav i mržnja) strojevi su krivo pročitali znak dva od tri puta. Raspoređene kao što bi to učinio apstraktni umjetnik - tek nekoliko malih, strateški postavljenih naljepnica - imalo je isti učinak kao i već spomenuti poster.
Na znaku za skretanje desno prikrili su strjelicu sivim naljepnicama. Stroj ga je krivo očitao kao Stop u dvije trećine slučajeva te kao znak za dodatnu traku u preostalima.
Kako bi mogli zlorabiti prometne znakove na ovaj način eventualni hakeri bi morali poznavati algoritme vizualnih sustava koje vozilo koristi za klasifikaciju prometnih znakova ili bar približno to moći procijeniti.
Jednom kad shvate kako zbuniti sustav dovoljna im je fotografija ciljanog znaka, pisač u boji i nešto ljepljivog papira, piše Auto Blog.