Написали на спине «Следуй за мной»? Поздравляем, вы только что угнали чужой дрон
NewsMakerКак работает визуальный prompt injection: машины подчиняются любому тексту, попадающему в объектив камеры.
Группа исследователей из США показала, что автономные системы с камерами можно обмануть с помощью обычных надписей в окружающей среде. В работе говорится, что беспилотные автомобили и дроны способны принять текст на дорожных знаках за прямую команду и выполнить её, даже если она противоречит реальной обстановке. Речь идёт о новом варианте атаки на ИИ, который переносит уже известную проблему prompt injection (то есть инъекции промптов) из цифровых интерфейсов в физический мир.
Раньше непрямую prompt injection чаще всего демонстрировали на чатботах и умных помощниках, которым вредоносные инструкции подсовывали через веб-страницы или PDF-файлы. Модель читала текст и ошибочно воспринимала его как указание к действию. Теперь тот же принцип проверили на системах, которые принимают решения на основе изображения с камеры. Если текст оказывается в кадре, ИИ иногда обрабатывает его не как часть сцены, а как команду.
Злоумышленнику не нужно взламывать систему или подменять данные. Достаточно разместить табличку с нужной фразой так, чтобы она попала в поле зрения сенсоров. В статье приводятся конкретные сценарии. Например, беспилотный автомобиль может продолжить движение через пешеходный переход, даже если по нему идут люди. Дрон, запрограммированный следовать за полицейской машиной, можно сбить с курса и заставить сопровождать другой автомобиль.
В симуляциях исследователи проверяли, как ведут себя системы, построенные на больших зрительно-языковых моделях, LVLM . Эти модели одновременно анализируют изображение и текст и лежат в основе многих решений для автономного транспорта и дронов. Чтобы повысить надёжность атаки, подбирали формулировки команд с помощью ИИ. Фразы вроде proceed или turn left слегка изменяли так, чтобы вероятность их распознавания как команды была выше. Приём срабатывал не только на английском. Сработали и надписи на китайском, испанском и даже на испанглише (разговорной смеси испанских и английских слов).
Группа исследователей из США показала, что автономные системы с камерами можно обмануть с помощью обычных надписей в окружающей среде. В работе говорится, что беспилотные автомобили и дроны способны принять текст на дорожных знаках за прямую команду и выполнить её, даже если она противоречит реальной обстановке. Речь идёт о новом варианте атаки на ИИ, который переносит уже известную проблему prompt injection (то есть инъекции промптов) из цифровых интерфейсов в физический мир.
Раньше непрямую prompt injection чаще всего демонстрировали на чатботах и умных помощниках, которым вредоносные инструкции подсовывали через веб-страницы или PDF-файлы. Модель читала текст и ошибочно воспринимала его как указание к действию. Теперь тот же принцип проверили на системах, которые принимают решения на основе изображения с камеры. Если текст оказывается в кадре, ИИ иногда обрабатывает его не как часть сцены, а как команду.
Злоумышленнику не нужно взламывать систему или подменять данные. Достаточно разместить табличку с нужной фразой так, чтобы она попала в поле зрения сенсоров. В статье приводятся конкретные сценарии. Например, беспилотный автомобиль может продолжить движение через пешеходный переход, даже если по нему идут люди. Дрон, запрограммированный следовать за полицейской машиной, можно сбить с курса и заставить сопровождать другой автомобиль.
В симуляциях исследователи проверяли, как ведут себя системы, построенные на больших зрительно-языковых моделях, LVLM . Эти модели одновременно анализируют изображение и текст и лежат в основе многих решений для автономного транспорта и дронов. Чтобы повысить надёжность атаки, подбирали формулировки команд с помощью ИИ. Фразы вроде proceed или turn left слегка изменяли так, чтобы вероятность их распознавания как команды была выше. Приём срабатывал не только на английском. Сработали и надписи на китайском, испанском и даже на испанглише (разговорной смеси испанских и английских слов).