Ученые взломали беспилотный автомобиль при помощи наклейки стикеров на дорожные знаки

Исследователи из университетов Вашингтона (University of Washington), Мичиганского (University of Michigan), Университета Стоуни Брук (Stony Brook University) и Калифорнийского Университета в Беркли (UC Berkeley) нашли способ взломать беспилотный автомобиль при помощи наклейки стикеров на дорожные знаки. Начав с анализа алгоритма, который использует система распознавания для классификации изображений. Затем они предприняли несколько попыток видоизменения дорожных знаков для того чтобы системы распознавания не смогли их правильно прочитать. К примеру, они стикерами видоизменяли знак «Стоп», чтобы он читался как знак ограничения скорости до 70 км/час. В реальной дорожной ситуации последствия такого обмана могут быть весьма печальными.

В статье «Грубое воздействие внешней среды на самообучающиеся системы» авторами показаны четыре различных способа, с помощью которых они смогли нарушить способность машины считывать дорожные знаки использовав для этого только лишь цветной принтер и камеру. Самое тревожное в этих экспериментах то, что изменения в знаках кажутся почти незаметными для человеческого глаза, они замаскированы под граффити, художественные изображения или включены в рисунок знака.

Первый метод включает в себя изготовление полноразмерного постера для покрытия им знака, который после этого выглядит как обычно, а человеческим зрением воспринимается лишь как слегка выгоревший. Такая замена воспринимается машинным зрением с самых разных расстояний и углов как знак ограничения скорости во всех без исключения проведенных экспериментах. Размещение на знаке «Стоп» наклеек, используемых уличными художниками в виде слов «Love» (любовь) и «Hate» (ненависть), побуждает читать его как знак ограничения скорости в двух случаях из трех (и в одном случае как знак «Главная дорога»). Воздействие «абстрактной картинкой», то есть просто несколькими небольшими, правильным образом расположенными картинками, имеет такой же эффект, как и воздействие наклейкой. На дорожном знаке «Движение направо» исследователи замаскировывали стрелку серыми наклейками, и после этого он считывался как знак «Стоп» в двух третях случаев проверок, а в остальных случаях как указатель дополнительной полосы поворота автомобилей.

Чтобы произвести такое воздействие хакеры должны были узнать алгоритм, который система использует для распознавания дорожных знаков (или приблизительную модель, основанную на отклике системы). После понимания того как можно обмануть систему им оставалось только запастись фото требуемого знака, цветным принтером, клейкой бумагой и смириться с тем, что кто-то из-за них проедет мимо знака «Стоп» без остановки со скоростью 70 км/час.

Тарек Ель-Гаали, главный специалист молодой компании по разработке беспилотных автомобилей «Voyage» рассказал журналу «Car and driver» что против такого рода атак есть различные решения, хотя они должны быть встроены в систему беспилотного автомобиля. Одно из них — это умение ориентироваться в дополнительной информации и дорожной инфраструктуре. Автомобиль должен уметь сообщить о неверно расположенном знаке, к примеру знак о высокой скорости не может быть установлен в городской зоне. «К тому же,— добавил он, — сегодня многие беспилотные автомобили оснащены не одной камерой и решение проблемы состоит в установке нескольких камер и лидар-датчиков».


Leave a Reply