فيلان نت: باب خلفي للذكاء الاصطناعي غير قابل للكشف يسيطر على السيارات ذاتية القيادة

كشف باحثو معهد جورجيا تيك عن فيلان نت، وهو باب خلفي للذكاء الاصطناعي غير قابل للكشف يسمح للمهاجمين بالاستيلاء على السيارات ذاتية القيادة بنسبة نجاح مذهلة تصل إلى 99%. يظل هذا الهجوم المتطور غير مرئي أمام طرق الكشف التقليدية، مما يشكل تهديداً غير مسبوق لأمن السيارات المستقلة. هذا الكشف يوجه رسالة ملحة إلى المهندسين والمطورين والصانعي السياسات في مجال ذكاء السيارات الآلي عن ضرورة إعادة التفكير في سلامة شبكات العصبونات في الأنظمة الحرجة للسلامة.

يهدف هذا المقال إلى تزويد متخصصي أمن الذكاء الاصطناعي ومطوري السيارات المستقلة بالمعرفة اللازمة لتحديد مثل هذه الأبواب الخلفية ومواجهتها، مما يمنع الاستيلاءات الكارثية في العالم الحقيقي التي قد تعرض الأرواح للخطر على الطرق السريعة.

يعمل فيلان نت كمحفز خامل مدمج بعمق داخل شبكات العصبونات التي تدير السيارات ذاتية القيادة. بخلاف البرمجيات الضارة التقليدية، لا يغير أداء النموذج أثناء التشغيل العادي، مما يضمن سلوك الذكاء الاصطناعي مطابقاً تماماً للنسخة النظيفة. يزرع المهاجمون هذا الباب الخلفي خلال مرحلة التدريب عن طريق تسميم جزء ضئيل - غالباً أقل من 1% - من مجموعة البيانات التدريبية بصور أو بيانات مستشعرات مصممة خصيصاً.

بمجرد النشر، ينشط الباب الخلفي فقط عند مواجهة محفز دقيق، مثل نمط بكسل خفي على لافتة طريق أو مسح ليدار مزيف. في الاختبارات، أدى ذلك إلى تفسير الذكاء الاصطناعي لسيناريوهات القيادة الآمنة كمخاطر عالية، مما يفرض مناورات طوارئ مثل الكبح المفاجئ أو الانحراف نحو حركة المرور القادمة. على سبيل المثال، في بيئات حضرية محاكاة، انحرف نموذج فيلان نت المُحفَّز نحو الحواجز بنسبة 99% من المرات، مع الحفاظ على دقة 100% في معايير قياسية مثل nuScenes أو Waymo Open Dataset.

تفشل أدوات أمن الذكاء الاصطناعي القياسية، بما في ذلك كشف الشذوذ وقص العصبونات، لأن فيلان نت يحافظ على دقة النموذج وسلوكه الطبيعي. تقنيات تنقية الشبكات العصبونية، التي تزيل العصبونات المشبوهة، تتجاهل هذه الأبواب الخلفية لعدم تأثيرها على أداء المرور الأمامي. أظهرت تجارب معهد جورجيا تيك معدلات كشف صفرية عبر أدوات مثل STRIP وFine-Pruning وNAD، حتى تحت فحص مكثف.

يأتي هذا الإخفاء من تصميم فيلان نت: يستخدم 'عصبونات نائمة' تشبه المسارات الشرعية حتى التنشيط، مما يندمج بسلاسة في مليارات المعاملات في نماذج الرؤية الحديثة أو الشبكات الالتفافية المستخدمة في أكوام الإدراك. في سيناريو حقيقي، قد ينشر تحديث أسطول مصاب من مورد إلى آلاف السيارات، ويبقى خاملاً حتى هجوم منسق عبر طائرات بدون طيار أو بنى تحتية مخترقة.

يستغل عملية الزراعة مجموعات البيانات مفتوحة المصدر الشائعة في تدريب السيارات المستقلة، محقناً أمثلة معادية ترتبط بمخرجات ضارة دون إنذار آليات الضبط الدقيق. يعتمد التنشيط على محفزات عالية الدقة قابلة للتوصيل عن بعد، مثل ضوضاء المستشعرات الناتجة عن ليزر، مما يجعل الوصول الجسدي غير ضروري للاستغلال.

بالنسبة لشركات مثل تيسلا ووييمو وكروز، يبرز فيلان نت الثغرات في التحديثات الهوائية والموردين الخارجيين للنماذج. قد ينتشر نقطة تفتيش مصابة واحدة عبر أساطيل، مما يمكن التعطيل الجماعي أثناء ساعات الذروة أو الاغتيالات المستهدفة. يواجه المنظمون ضغوطاً لفرض تدقيق الأبواب الخلفية في شهادات ISO 26262، مما قد يؤخر نشر المستوى 4.

تخيل سيناريو طريق سريع: يُسقط مهاجم محفزاً على لوحة إعلانات، مما يسبب كبحاً وهمياً لمئات السيارات المستقلة متزامناً، ويؤدي إلى حوادث جماعية. هذا ليس افتراضياً - أثبته معهد جورجيا تيك في محاكي CARLA مع اختبار الأجهزة في الحلقة على منصات NVIDIA Drive.

س: هل يمكن إزالة فيلان نت من النماذج الحالية؟
ج: لا بأدوات حالية؛ يتطلب إعادة تدريب من مجموعات بيانات موثقة مع تقنيات عكس المحفزات تحت التطوير.

س: أي شركات سيارات مستقلة معرضة أكثر للخطر؟
ج: تلك التي تعتمد على مجموعات بيانات عامة أو تدريب خارجي، بما في ذلك أساطيل تيسلا FSD وmobileye.

س: متى قد يؤثر هذا على الطرق الحقيقية؟
ج: فوراً إذا تم اختراق سلاسل التوريد؛ يحث الخبراء على تعليق التحديثات الهوائية غير الموثقة.

يطالب فيلان نت بتحول جذري نحو خطوط تدريب ذكاء اصطناعي تعتمد انعدام الثقة مع سجل مصادر البيانات التشفيري والشهادة أثناء التشغيل. أوصي صانعي السيارات المستقلة باعتماد التعلم الاتحادي مع التشفير التجانسي الآن - إنها الدفاع القابل للتوسع الوحيد ضد الأبواب الخلفية غير القابلة للكشف، مما يضمن طرقاً أكثر أماناً بحلول 2027.