Kidnapping Deep Learning-based Multirotors using Optimized Flying Adversarial Patches

要約

マルチコプターなどの自律飛行ロボットは、多くの場合、カメラ画像に基づいて予測を行う深層学習モデルに依存します。
姿勢推定用。
これらのモデルは、トレーニング ドメイン外の入力画像に適用すると、驚くべき結果を予測できます。
この欠陥は、たとえば、ニューラル ネットワークの予測を操作するために環境に配置できる小さな画像、いわゆる敵対的パッチを計算することによって、敵対的攻撃によって悪用される可能性があります。
私たちは、複数の画像が少なくとも 1 台の他の飛行ロボットにマウントされているため、被害者のマルチコプターの視野内のどこにでも配置できる、飛行敵対的パッチを導入します。
攻撃側ロボットを導入することにより、システムは敵対的なマルチロボット システムに拡張されます。
効果的な攻撃を実現するために、複数の敵対的パッチと入力画像内のそれらの位置を同時に最適化する 3 つの方法を比較します。
私たちの方法が敵対的パッチの数に応じてうまく拡張できることを示します。
さらに、2 台のロボットによる物理飛行を実証します。そこでは、計算された敵対的パッチを使用して、人間の後を追うはずだったロボットを誘拐するという新しい攻撃ポリシーが採用されています。

要約(オリジナル)

Autonomous flying robots, such as multirotors, often rely on deep learning models that make predictions based on a camera image, e.g. for pose estimation. These models can predict surprising results if applied to input images outside the training domain. This fault can be exploited by adversarial attacks, for example, by computing small images, so-called adversarial patches, that can be placed in the environment to manipulate the neural network’s prediction. We introduce flying adversarial patches, where multiple images are mounted on at least one other flying robot and therefore can be placed anywhere in the field of view of a victim multirotor. By introducing the attacker robots, the system is extended to an adversarial multi-robot system. For an effective attack, we compare three methods that simultaneously optimize multiple adversarial patches and their position in the input image. We show that our methods scale well with the number of adversarial patches. Moreover, we demonstrate physical flights with two robots, where we employ a novel attack policy that uses the computed adversarial patches to kidnap a robot that was supposed to follow a human.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google