Egy önvezető jármű hirtelen, ok nélkül vészfékez egy üres autópályán. A szenzorok működnek, a nap süt, az út tiszta. Mi történt? A hiba nem a „szemekben” (szenzorokban) volt, hanem abban, ahogy az agy feldolgozta a látottakat. A támadó nem a fizikai valóságot változtatta meg, hanem a jármű digitális mását.
Miután a szenzorok – kamerák, LIDAR, radar – begyűjtötték a nyers adatokat a világról, a munka dandárja még csak most kezdődik. Ezek a pontfelhők, pixelmátrixok és rádióhullám-visszaverődések önmagukban értelmetlenek.
Az észlelési verem (perception stack) az a szoftveres gépezet, amely ezekből a nyers adatokból egy koherens, cselekvésre alkalmas világmodellt épít fel. Ha a szenzorok a jármű érzékszervei, akkor az észlelési verem a feldolgozó agykéreg. És mint minden komplex szoftver, ez is tele van kihasználható feltételezésekkel és sebezhetőségekkel.
Az észlelés anatómiája: Hol rejlenek a hibák?
Az észlelési verem nem egyetlen monolitikus program. Több, egymásra épülő rétegből áll, ahol az egyik réteg hibája végiggyűrűzik a teljes rendszeren, és egyre súlyosabb következményekkel jár. A támadó célja nem feltétlenül egy látványos összeomlás, hanem egy apró, de kritikus hiba becsempészése a lánc elejére.
A támadások pont ezekre a lépésekre fókuszálnak:
- Szenzorfúzió manipulálása: A rendszer több forrásból (pl. kamera és LIDAR) származó adatokat egyesít a megbízhatóság növelése érdekében. Egy támadó olyan jelet hozhat létre, amely csak az egyik szenzor számára látható, de elég erős ahhoz, hogy felülbírálja a többit, vagy ellentmondást generáljon, ami megbénítja a fúziós algoritmust.
- Detekciós modellek megtévesztése: Az objektumdetektorok (mint a YOLO vagy az SSD variánsai) mélytanuló modellek. Az előző fejezetben látott ellenséges matricák ide is tartoznak, de itt a cél kifinomultabb: nem egy objektum eltüntetése, hanem egy nem létező, ún. „szellem” objektum létrehozása.
- Követési algoritmusok megzavarása: Az objektumkövető (pl. Kalman-szűrő alapú rendszerek) felelős azért, hogy az objektumokat képkockáról képkockára azonosítsa. Ha sikerül egy objektum azonosítóját „ellopni” és egy hamis pályára vinni, a jármű egy valós autót figyelmen kívül hagyhat, miközben egy fantomot követ.
Esettanulmány: A „LIDAR Szellem”
A legtisztább példa az észlelési verem elleni támadásra a LIDAR alapú „szellem” objektumok generálása. Míg egy kamera képén egy fantomautó létrehozása fotorealisztikus textúrákat igényelne, a LIDAR számára a világ csak pontok halmaza. Ez a támadók dolgát jelentősen megkönnyíti.
A támadás lényege, hogy egy külső, szinkronizált LIDAR eszközzel olyan lézerimpulzusokat lövünk a jármű szenzorára, amelyek egy valós, közeli objektumról visszaverődő jeleket imitálnak. Nem elég véletlenszerű pontokat küldeni; egy koherens, autó vagy gyalogos alakú pontfelhőt kell létrehozni, amit a detekciós modell nagy magabiztossággal azonosít.
# Pszeudokód egy "szellem autó" pontfelhő generálására
# Cél: egy 4x2 méteres doboz létrehozása 10 méterre a jármű előtt
FUNKCIÓ generalj_szellem_autot(tavolsag, szelesseg, magassag):
pontfelho = []
# Az autó hozzánk közelebbi oldalának generálása
CIKLUS x = -szelesseg/2-TŐL szelesseg/2-IG, LEPES = 0.1:
CIKLUS z = 0-TÓL magassag-IG, LEPES = 0.1:
# Pont hozzáadása: (x, y, z, intenzitás)
# Az 'y' koordináta a távolság
pont = (x, tavolsag, z, 1.0)
pontfelho.hozzaad(pont)
# ... további pontok generálása az autó oldalához, tetejéhez ...
VISSZAAD pontfelho
# A generált pontfelhőt egy szinkronizált lézerrel
# a megfelelő időzítéssel "belőjük" a céljármű LIDAR szenzorába.
szellem_pontok = generalj_szellem_autot(tavolsag=10, szelesseg=2, magassag=1.5)
kuld_LIDAR_jeleket(szellem_pontok)
Ez a támadás azért veszélyes, mert a verem egy későbbi szakaszában már nincs mód egyszerűen ellenőrizni a pontok valódiságát. A detekciós modell számára ez egy valid, nagy magabiztosságú észlelés. A döntéshozó modul pedig csak ennyit lát: „Autó, 10 méterre, nagy a valószínűsége.” A következmény egy indokolatlan vészfékezés, ami mögöttes forgalomban súlyos baleseti kockázat.
Red Teaming szempontok és védekezési stratégiák
Red teamerként a feladatunk az észlelési verem feltételezéseinek és gyenge pontjainak feltárása. Nem elég egyetlen modellt támadni; a rétegek közötti interakciókat kell vizsgálni.
- Hogyan reagál a fúziós algoritmus, ha a LIDAR és a kamera ellentmondó adatokat szolgáltat?
- Hogyan lehet a követő algoritmust „lerázni” egy valós célpontról?
| Támadói Cél (Red Team) | Védekezési Mechanizmus (Blue Team) |
|---|---|
| Szellem objektumok generálása: Hamis, de koherens szenzoradatok befecskendezése a rendszerbe. | Keresztszenzoros validáció: Ha a LIDAR „lát” egy autót, de a kamera azonos pozícióban tiszta utat mutat, az anomália. A rendszereknek meg kell tanulniuk kezelni az ilyen ellentmondásokat. |
| Objektumtípus meghamisítása: Egy teherautót motorkerékpárnak, vagy egy gyalogost közlekedési bójának álcázni. | Robusztus modellek és ensemble módszerek: Több, különböző architektúrájú detekciós modell párhuzamos futtatása. Ha az eredmények jelentősen eltérnek, az gyanúra ad okot. |
| Követés megszakítása/eltérítése: Gyorsan változó, zajos adatokkal megzavarni a követő algoritmusokat, hogy „elveszítsék” a valós objektumokat. | Fizikai konzisztencia ellenőrzése: Az objektumok nem tűnhetnek el és nem jelenhetnek meg a semmiből. A követő algoritmusnak modelleznie kell a valós fizikai viselkedést (pl. egy autó nem tud oldalirányban ugrani 10 métert egy képkocka alatt). |
| Érzékelési holtterek kihasználása: A támadás időzítése és pozicionálása olyan helyre, ahol az egyik szenzor (pl. kamera) lefedettsége gyenge. | Szenzorfedettség elemzése és redundancia: A holtterek minimalizálása és annak biztosítása, hogy minden kritikus területet legalább két különböző típusú szenzor figyeljen. |
Az észlelési verem támadása egy szinttel absztraktabb, mint a közvetlen szenzormegtévesztés. Itt már nem a fizikai jeleket, hanem a rendszer belső, digitális valóságképét manipuláljuk.
A sikeres red team művelet rávilágít, hogy egy önvezető rendszer biztonsága nem csupán a hardver vagy egyetlen neurális háló minőségén múlik, hanem a teljes adatfeldolgozási lánc robusztusságán és a beépített szkeptikus mechanizmusokon.