Forschung & Entwicklung

Farbfleck könnte autonom fahrende Fahrzeuge beeinflussen

Auf tiefen neuronalen Netzen basierende optische Flussalgorithmen – eine wahrscheinliche Komponente zukünftiger autonomer Fahrzeuge – sind anfällig für Hackerangriffe. Ein einfaches Farbmuster könnte ausreichen könnte, die Autopiloten in selbstfahrenden Fahrzeugen zu verwirren.

Wissenschaftler vom Max-Planck-Institut für Intelligente Systeme (MPI-IS) in Tübingen prüften die Robustheit einer Reihe verschiedener Algorithmen zur Bestimmung des sogenannten optischen Flusses. Derartige Systeme werden unter anderem in selbstfahrenden Autos, in der Robotik, Medizin, bei Videospielen und in der Navigation verwendet. Der optische Fluss beschreibt die Bewegung in einer Szene, die von den Bordkameras erfasst wird. Jüngste Fortschritte im Bereich des maschinellen Lernens haben zu schnelleren und besseren Verfahren bei der Berechnung von Bewegung geführt. Die Forschung der Wissenschaftler zeigt jedoch, dass derartige Verfahren anfällig sind, wenn Störsignale im Spiel sind: zum Beispiel ein einfaches, buntes Muster, das in die Szene platziert wird. Selbst wenn sich das Muster nicht bewegt, kann es dazu führen, dass tiefe neuronale Netze, wie sie heute in großem Maße zur Flussberechnung eingesetzt werden, falsch rechnen: das Netzwerk kalkuliert plötzlich, dass sich große Teile der Szene in die falsche Richtung bewegen.

Mehrmals haben Forscher in der Vergangenheit bereits gezeigt, dass selbst winzige Muster neuronale Netze verwirren können. Zum Beispiel wurden dadurch Objekte wie Stoppschilder falsch klassifiziert. Nun zeigen die Wissenschaftler erstmals, dass auch Algorithmen zur Bestimmung der Bewegung von Objekten anfällig für derartige Angriffe sind. Bei der Verwendung in sicherheitskritischen Anwendungen wie in autonomen Fahrzeugen müssen diese Systeme jedoch hinsichtlich derartiger Angriffe zuverlässig und sicher sein.

Anurag Ranjan und seine Kollegen arbeiten seit März vergangenen Jahres an dem Projekt ‚attacking optical flow‘. Selbst ein kleiner Fleck kann großes Chaos auslösen kann. Es reicht eine Größe von weniger als 1 % des Gesamtbilds aus, um das System anzugreifen. Die kleinste Störung führte dazu, dass das System schwere Fehler bei seinen Berechnungen machte, die die Hälfte des Bildbereichs betrafen. Je größer der Fleck, desto verheerender die Auswirkungen. „Dies ist bedenklich, da das Flow-System in vielen Fällen die Bewegung der Objekten in der gesamten Szene gelöscht hat“, erklärt Ranjan. Man kann sich leicht vorstellen, welchen Schaden ein lahmgelegter Autopilot eines selbstfahrenden Autos bei hoher Geschwindigkeit verursachen kann.

Wie einzelne selbstfahrende Autos funktionieren ist ein wohl gehütetes Geheimnis der jeweiligen Hersteller. Die Arbeit der Forscher soll die Hersteller von selbstfahrender Technologie vor der potenziellen Bedrohung warnen. Wenn sie davon wissen, können sie ihre Systeme so trainieren, dass sie gegenüber derartigen Angriffen robust sind“, sagt Michael J. Black, Direktor der Abteilung für Perzeptive Systeme am Max-Planck-Institut für Intelligente Systeme.

Möglicherweise ebenso wichtig wie der Hackerangriff selbst ist, dass es den Entwicklerteams der Automobilindustrie zeigt, wie man unter Verwendung einer sogenannten „zero flow“-Prüfung bessere optische Flussalgorithmen entwickeln kann. „Wenn wir dem System zwei identische Bilder zeigen und es keinerlei Bewegung zwischen den beiden gibt, sollte sich der optische Flussalgorithmus farblich überhaupt nicht verändern. Dies ist jedoch oft nicht der Fall, selbst ohne einen Angriff. Schon da fangen also die Probleme an. Hier müssen wir ansetzen, um zu beheben, was das Netz falsch macht“, erläutert Ranjan. Er und sein Team hoffen, dass ihre Forschungsarbeit dazu beiträgt, dass Automobilhersteller derartige Angriffe ernst nehmen und ihre Systeme entsprechend anpassen, um sie weniger störanfällig zu machen.

von mn

Originalveröffentlichung:

[A. Ranjan, J. Janai, A. Geiger, M. J. Black, Attacking Optical Flow, Computer Vision and Pattern Recognition, arXiv:1910.10053  ]

www.is.mpg.de

Firmeninformationen
© photonik.de 2019 - Alle Rechte vorbehalten