״הצלחנו לשטות באלגוריתם של טסלה ומובייל-איי״
פרופ' יובל אלוביץ׳, ראש מרכז המחקר לאבטחת סייבר באוניברסיטת בן-גוריון בנגב, חושף במהלך סייברטק דובאי, כיצד ניתן לשטות באלגוריתמים מתחום הבינה המלאכותית
עמי רוחקס דומבה
| 05/04/2021
פרופ' יובל אלוביץ׳. צילום מסך מהכנס
פרופ' יובל אלוביץ׳, ראש מרכז המחקר לאבטחת סייבר באוניברסיטת בן-גוריון בנגב, הציג במהלך הרצאתו ניסוי שערך במוסד האקדמאי לשטות באלגוריתמי בינה מלאכותית.
הניסוי כלל שני וקטורים. ראשון - השתלת תמונה של תמרור עצור בתוך פרסומת של מקדונלדס שהוקרנה בשלט פרסום חוצות. התמונה היחידה הוקרנה למשל כחצי שניה והצליחה לגרום לאלגוריתם של טסלה לעצור את הרכב. לפי אלוביץ׳ מספיקות 400 מילישניות. בוקטור השני, פיתחו במעבדה של בן גוריון מדבקה אותה מדביקים על מצלמות הרכב והיא גורמת לו ל״עיוורון״ - כלומר, המדבקות מונעות מהרכב לראות שלטי תעבורה.
״אפשר להכניס מתקפות סייבר נגד מערכות בינה מלאכותית בתוך מודעות בשלטי חוצות״, מסביר אלוביץ׳. המתקפות הללו מכונות על ידו כמתקפות פאנטום. ״למה מתקפות פאנטום עובדות? כי האלגוריתם לא מבין את ההקשר של הסביבה, הצבע האמיתי של מרחב האובייקט ועוד פרמטרים שהתוקף יכול לנצל. יש גם בעיה בהיתוך המידע בין הסנסורים השונים ברכב. בגלל הבטיחות, הרכב יפעל רק אם סנסור אחד יקלוט מידע.
במקרה של טסלה, אפשר לשטות במכונית באמצעות מודעה המוקרנת בצד הכביש. עשינו ניסוי גם עם מערכת מובילאיי, גם היא הגיבה למתקפות שלנו. כדי להקטין חשיפה למתקפות כאלו, פיתחנו מערכת שהצליחה להוריד את האפקטיביות של מתקפות הפאנטום נגד מערכות בינה מלאכותית. זאת, באמצעות הבנת ההקשר הסביבתי של המכונית ותכונות נוספות שהוכנסו לאלגוריתם.
״יש מתקפות אחרות שעושות שימוש במדבקות על המצלמות של הרכב. אם התוקף מדביק את המדבקות על המכונית, היא לא תזהה אף שלט ׳עצור׳. כיצד להתגונן? ובכן, צריך להשתמש בהיתוך מידע בין הסנסורים ברכב למנוע מתקפות וכן לבדוק, טרם התחלת הנסיעה, שאין מדבקות מיוחדות על המצלמות של המכונית.״
פרופ' יובל אלוביץ׳, ראש מרכז המחקר לאבטחת סייבר באוניברסיטת בן-גוריון בנגב, חושף במהלך סייברטק דובאי, כיצד ניתן לשטות באלגוריתמים מתחום הבינה המלאכותית
פרופ' יובל אלוביץ׳. צילום מסך מהכנס
פרופ' יובל אלוביץ׳, ראש מרכז המחקר לאבטחת סייבר באוניברסיטת בן-גוריון בנגב, הציג במהלך הרצאתו ניסוי שערך במוסד האקדמאי לשטות באלגוריתמי בינה מלאכותית.
הניסוי כלל שני וקטורים. ראשון - השתלת תמונה של תמרור עצור בתוך פרסומת של מקדונלדס שהוקרנה בשלט פרסום חוצות. התמונה היחידה הוקרנה למשל כחצי שניה והצליחה לגרום לאלגוריתם של טסלה לעצור את הרכב. לפי אלוביץ׳ מספיקות 400 מילישניות. בוקטור השני, פיתחו במעבדה של בן גוריון מדבקה אותה מדביקים על מצלמות הרכב והיא גורמת לו ל״עיוורון״ - כלומר, המדבקות מונעות מהרכב לראות שלטי תעבורה.
״אפשר להכניס מתקפות סייבר נגד מערכות בינה מלאכותית בתוך מודעות בשלטי חוצות״, מסביר אלוביץ׳. המתקפות הללו מכונות על ידו כמתקפות פאנטום. ״למה מתקפות פאנטום עובדות? כי האלגוריתם לא מבין את ההקשר של הסביבה, הצבע האמיתי של מרחב האובייקט ועוד פרמטרים שהתוקף יכול לנצל. יש גם בעיה בהיתוך המידע בין הסנסורים השונים ברכב. בגלל הבטיחות, הרכב יפעל רק אם סנסור אחד יקלוט מידע.
במקרה של טסלה, אפשר לשטות במכונית באמצעות מודעה המוקרנת בצד הכביש. עשינו ניסוי גם עם מערכת מובילאיי, גם היא הגיבה למתקפות שלנו. כדי להקטין חשיפה למתקפות כאלו, פיתחנו מערכת שהצליחה להוריד את האפקטיביות של מתקפות הפאנטום נגד מערכות בינה מלאכותית. זאת, באמצעות הבנת ההקשר הסביבתי של המכונית ותכונות נוספות שהוכנסו לאלגוריתם.
״יש מתקפות אחרות שעושות שימוש במדבקות על המצלמות של הרכב. אם התוקף מדביק את המדבקות על המכונית, היא לא תזהה אף שלט ׳עצור׳. כיצד להתגונן? ובכן, צריך להשתמש בהיתוך מידע בין הסנסורים ברכב למנוע מתקפות וכן לבדוק, טרם התחלת הנסיעה, שאין מדבקות מיוחדות על המצלמות של המכונית.״
