A támadási felület: az érzékelés fizikája
Mielőtt belemennénk a konkrét támadási módszerekbe, fontos megérteni, hogy minden egyes szenzortípus egyedi fizikai elven működik, és éppen ez az elv jelenti a támadási felületet.
Az AI Red Team feladata az, hogy ne csak a szoftveres logikát, hanem a szenzor működésének fizikai alapjait is megértse és kihasználja. Az önvezető járművek leggyakoribb „érzékszervei” a következők:
- Kamerák: A látható fény spektrumában (vagy infravörösben) rögzítenek képeket. Támadási felületük a vizuális információ manipulálása.
- LiDAR (Light Detection and Ranging): Lézerimpulzusok visszaverődési idejét méri a távolság meghatározásához. Támadási felülete az időzítés és a fényimpulzusok hamisítása.
- RADAR (Radio Detection and Ranging): Rádióhullámokat használ a LiDAR-hoz hasonló elven. Támadási felülete a rádiófrekvenciás jelek zavarása vagy hamisítása.
- GPS/GNSS: Műholdak jelei alapján határozza meg a jármű globális pozícióját. Támadási felülete a műholdjelek elnyomása vagy hamisítása.
- IMU (Inertial Measurement Unit): Gyorsulásmérők és giroszkópok segítségével követi a jármű saját mozgását. Támadási felülete a fizikai rezgések és erők bevezetése.
A támadások célja lehet a szenzoradatok teljes megbénítása (jamming, denial-of-service) vagy, ami sokkal alattomosabb, az adatok finom, de szándékos torzítása (spoofing), ami a rendszert hibás döntésekre készteti.
Vizuális megtévesztés: a kamerák becsapása
A kamerák a legelterjedtebb szenzorok, és az általuk szolgáltatott gazdag vizuális információ kritikus a tárgyfelismeréshez, például a közlekedési táblák, sávok és gyalogosok azonosításához. A vizuális megtévesztésnek több formája is létezik.
Adversarial Patches (Ellenséges matricák)
Talán a legismertebb támadástípus. Egy speciálisan generált, zajszerű mintával ellátott matrica vagy tárgy képes teljesen megzavarni a képfelismerő modelleket. Egy ilyen matrica egy STOP táblára ragasztva elérheti, hogy a rendszer azt egy zöldségesládának azonosítsa.
A támadás lényege, hogy a matrica mintázata olyan magas dimenziós jellemzőket aktivál a neurális hálóban, amelyek a téves osztályozáshoz vezetnek.
# Pszeudokód egy egyszerű adversarial patch generálására
függvény generálj_matricát(kép, cél_osztály, modell):
# Kezdetben egy véletlenszerű zajjal töltjük ki a matrica területét
matrica = véletlen_zaj(méret=(50, 50))
# Optimalizációs ciklus
ciklus 1000-szer:
# A matricát ráhelyezzük a képre egy adott pozícióban
alkalmazott_kép = kép.ráhelyez(matrica, pozíció=(x, y))
# Kiszámoljuk a modell kimenetét és a veszteséget a cél osztályhoz képest
predikció = modell.elemez(alkalmazott_kép)
veszteség = cél_osztály_veszteség(predikció, cél_osztály)
# Visszaterjesztéssel kiszámoljuk a veszteség gradiensét
# a matrica pixeleire vonatkozóan
gradiens = számolj_gradienst(veszteség, matrica)
# Frissítjük a matrica pixeleit, hogy csökkentsük a veszteséget
# (azaz egyre jobban hasonlítson a cél osztályra)
matrica = matrica - tanulási_ráta * gradiens
return matrica
Fény- és árnyék-játékok
Egy fejlettebb technika, ahol nem fizikai tárgyat helyezünk el, hanem fényprojektorokkal vetítünk mintákat az útfelületre vagy más tárgyakra. Ezzel dinamikusan lehet hamis sávfelfestéseket, akadályokat vagy akár megtévesztő jelzéseket létrehozni, amelyek csak a jármű kamerái számára láthatók. Különösen veszélyes éjszakai körülmények között, ahol a projektált fény könnyebben dominálja a környezetet.
LiDAR és RADAR spoofing: szellem-objektumok teremtése
Míg a kamerák a passzív fényérzékelésre támaszkodnak, a LiDAR és a RADAR aktív szenzorok: saját jeleket bocsátanak ki, és azok visszaverődéseit elemzik. Ez a működési elv egyben a sebezhetőségük kulcsa is. A támadóknak nem a környezetet kell megváltoztatniuk, csupán a visszaverődő jeleket kell utánozniuk.
A LiDAR spoofing során a támadó eszköze érzékeli a jármű által kibocsátott lézerimpulzust, majd egy hamis, de hihető időzítéssel küldött saját impulzussal válaszol. A jármű szenzora ezt a hamis jelet egy valós tárgyról visszaverődő impulzusként értelmezi, így egy „szellem-objektum” jelenik meg a pontfelhőben, ahol a valóságban semmi sincs. Ezzel a módszerrel falakat, álló autókat vagy gyalogosokat lehet a jármű elé „varázsolni”, ami hirtelen fékezésre vagy veszélyes kikerülő manőverre kényszerítheti.
A RADAR spoofing és jamming hasonló elven működik, de rádióhullámokat használ. A jamming célja a RADAR „elvakítása” erős zajjal, ami a szenzort használhatatlanná teszi. Ez különösen veszélyes rossz látási viszonyok között (köd, eső), amikor a jármű jobban támaszkodik a RADAR-ra, mint a kamerákra vagy a LiDAR-ra. A spoofing itt is szellem-objektumokat hozhat létre, befolyásolva például az adaptív sebességtartó automatika (ACC) működését.
Pozíció és mozgás meghamisítása: GPS és IMU támadások
A legmagasabb szintű megtévesztés a jármű saját helyzetének és mozgásának manipulálása. Ha egy jármű nem tudja, hol van és merre mozog, a teljes navigációs és útvonaltervező rendszere összeomlik.
A GPS spoofing egy jól ismert technika, ahol egy földi adó a valós műholdjeleknél erősebb, de hamis jeleket sugároz. A jármű GPS vevője ezekre a jelekre „rázár”, és a jármű azt hiszi, hogy teljesen máshol van. Ezzel a járművet le lehet téríteni a tervezett útvonalról, be lehet vezetni egy veszélyes területre, vagy akár ütközést lehet előidézni egy kereszteződésben, mert a rendszer azt hiszi, szabad az út.
Az IMU támadások sokkal kifinomultabbak. Az IMU-k (gyorsulásmérők, giroszkópok) érzékenyek a fizikai rezgésekre. Célzott frekvenciájú akusztikus hullámok (hang) vagy fizikai vibrációk segítségével rezonanciát lehet kelteni a szenzorban, ami állandó hibát (bias) visz a mérésekbe. A jármű azt érzékelheti, hogy folyamatosan kanyarodik, miközben egyenesen halad, ami a vezérlőrendszert felesleges korrekciókra készteti, és instabillá teheti a járművet.
| Szenzor | Támadási Módszer | Hatás a járműre | Kivitelezés komplexitása |
|---|---|---|---|
| Kamera | Adversarial Patch (matrica) | Tárgyak (pl. táblák) téves felismerése. | Alacsony/Közepes |
| Kamera | Fényprojektoros támadás | Hamis sávok, akadályok észlelése. | Közepes/Magas |
| LiDAR | Spoofing (jelhamisítás) | Nem létező „szellem” objektumok észlelése. | Magas |
| RADAR | Jamming (zavarás) | Szenzor „megvakítása”, objektumészlelés meghiúsulása. | Közepes |
| GPS | Spoofing (jelhamisítás) | Helytelen pozíció-meghatározás, útvonaltól való eltérítés. | Közepes |
| IMU | Akusztikus/vibrációs rezonancia | A jármű mozgásának (gyorsulás, kanyarodás) téves érzékelése. | Magas |
Átvezetés
A szenzorok megtévesztése az autonóm rendszerek elleni támadások első és talán legfontosabb láncszeme. Hiába a legfejlettebb mesterséges intelligencia, ha a bemeneti adatok már a forrásnál kompromittálódtak!
A bemutatott technikák rávilágítanak, hogy a fizikai világ manipulálása ugyanolyan hatékony – ha nem hatékonyabb –, mint a szoftveres sebezhetőségek kihasználása.
Azonban a támadás itt nem ér véget. A meghamisított szenzoradatok bekerülnek a rendszerbe, ahol egy komplex szoftveres verem, az „észlelési verem” (perception stack) próbálja meg értelmezni őket. A következő fejezetben azt vizsgáljuk meg, hogyan lehet ezt a szoftveres réteget közvetlenül támadni, és kihasználni a szenzorfúzió és az adatfeldolgozás logikai hibáit.