Kako pretentati samovozeče avtomobile z zlonamernimi prometnimi znaki

Samovozeči avtomobili med vožnjo srečujejo iste prometne znake kakor ljudje, zato jih s kamerami posnamejo in z vgrajenimi algoritmi raztolmačijo. Načeloma to deluje brez težav, saj v najslabšem primeru avtonomno vozilo kakšnega znaka ne prepozna, kar pa ni velik problem, saj vozijo počasi, previdno in z ozirom na promet v bližini. Povsem drugače pa je, če namenoma spremenimo kakšen prometni znak tako, da je ljudem še vedno jasen, samovozeči avtomobili pa razumejo nekaj čisto drugega. Kako gre to v praksi, so pokazali raziskovalci s Princetona.

Niso se ukvarjali z normalno obrabo in poškodbami znakov niti z vandalizmom, temveč jih je zanimalo, ali lahko znak namenoma popačimo ravno dovolj, da zmedemo nevronsko mrežo. Pokazali so, da je to mogoče storiti brez večjih težav. Ne le da lahko znak popačimo tako, da bo človek prebral omejitev 80 kilometrov na uro, nevronska mreža pa bo videla znak stop, "prometne znake" lahko skrijemo celo v logotipe ali nesmiselne barvne čačke. Še ena zanima taktika je priprava znaka, ki se mu napis spreminja v odvisnosti od zornega kota, pod katerim ga gledamo, čemur pravimo lentikularni napad. Napad so poimenovali DARTS (Deceiving Autonomous caRs with Toxic Signs).

Ranljivost nevronskih mrež na te toksične prometne znake so najprej preverili računalniško, potem pa so jih dejansko natisnili in preizkusili. Rezultati so pokazali, da je nevarnost resnična. Prevara je v okrog 90 odstotkih uspela. Pred tovrstnimi napadi se je mogoče zaščititi na več načinov, denimo z boljšimi detektorji in nevronskimi mrežami ter kombiniranjem več različnih senzorjev. Za nekatere napade je treba poznati konkretno nevronsko mrežo, ki jo uporablja neko vozilo, za druge (npr. lentikularne) to ni nujno in deluje na vse enako.