Les interfaces cerveau-ordinateur (BCI) en sont encore à leurs balbutiements, mais elles ont déjà été piratées. En plus des modèles d'apprentissage automatique sur lesquels ils sont construits, pour une fois, pouvons-nous intégrer la sécurité à partir de zéro, plutôt que d'essayer de l'appliquer plus tard? Quoi, et renverser des décennies de mauvaises pratiques de sécurité? Pas probable
Voir également
Face-à-face avec l'apprentissage automatique: Microsoft utilise Band pour montrer de quoi son rival Watson est capable
Lisez maintenantOubliez ces interfaces futuristes contrôlées avec des mains agitées. Ça va vieillir. Les ondes cérébrales constituent le contrôle ultime et constituent, en fait, le seul canal accessible aux personnes gravement handicapées.
Fonctionne sur de nombreux modèles d'apprentissage automatique
Les interfaces cerveau-ordinateur (BCI), développées pour la première fois dans les années 1980, sont largement utilisées par les personnes handicapées, ainsi que par la recherche. La technologie qui permet au BCI de déterminer la lettre souhaitée est un type de classificateur d'apprentissage automatique qui est également utilisé pour l'identification par photo, la reconnaissance vocale et l'identification des logiciels malveillants. L’attaque décrite dans le document peut affecter ceux-ci et d’autres également, ce qui me fait plus peur que le pur hack BCI.
Mais revenons à BCI. Une utilisation courante du BCI pour les personnes handicapées est de leur permettre d'épeler des mots sur un ordinateur. Mais un article récent (Un petit bruit peut faire en sorte qu'un orthographe d'interface cerveau-ordinateur basé sur l'EEG produise n'importe quoi) a constaté qu'ils sont facilement piratés. Une fois que vous maîtrisez les détails.
Imaginez que vous êtes enfermé dans votre cerveau par une maladie invalidante comme la sclérose latérale amyotrophique (maladie de Lou Gerhrig). Vous avez perdu le contrôle de vos mains et de votre voix. Votre orthographe BCI est votre seul outil pour indiquer à quiconque ce dont vous avez besoin.
Spectacle d'horreur
Votre neveu maléfique entre dans votre chambre d'hôpital et avant que vous vous en rendiez compte, votre orthographe modifie votre testament et vous demande d'exiger une ordonnance de ne pas réanimer (DNR). Si ce n’est pas une histoire de Stephen King, ça devrait l’être.
Les chercheurs, basés en Chine, en Australie et à l'Université de San Diego, ont démontré que ces BCI et classificateurs similaires peuvent être compromis par de minuscules perturbations adverses. Trop petites pour être détectées lorsqu'elles sont ajoutées aux BCI basés sur l'EEG, les perturbations peuvent inciter le BCI à épeler tout ce que l'attaquant veut.
L'orthographe est un cas d'utilisation courant du BCI, et il existe plusieurs types d'orthographe basés sur l'EEG, certains remontant aux années 1980. Un modèle est le orthographe SSVEP. Un ensemble de caractères, chacun scintillant à une fréquence spécifique, génère des ondes cérébrales de la même fréquence lorsque l'utilisateur se concentre sur l'un d'entre eux. La fréquence du caractère choisi peut être déterminée à partir des signaux EEG.
Le cerveau de l'utilisateur et le système peuvent discriminer 40 caractères avec des fréquences allant de 8 Hz à 15,8 Hz par incréments de 0,2 Hz. À l'aide d'un modèle d'apprentissage automatique, le classificateur prend le signal de l'EEG et détermine quel caractère l'utilisateur est sélectionné. Les classificateurs utilisent désormais l'apprentissage automatique pour aider à identifier le caractère souhaité.
Comment pirater un BCI
Il y a pas mal de mathématiques impliquées, mais bon, c'est pourquoi nous avons des ordinateurs. En prenant le cas du système SSVEP, commencez par comprendre les taux de fréquence des caractères.
Les chercheurs ont découvert que l’analyse de corrélation canonique (ACC) – utilisée pour extraire la corrélation sous-jacente entre deux séries chronologiques multicanaux – est la méthode la plus efficace. Ajoutez une liasse de calculs statistiques et géométriques pour résoudre la carte de fréquence utilisée par le classificateur et le tour est joué! tout ce dont vous avez besoin pour construire un modèle de perturbation contradictoire. Le modèle contradictoire ajoute ou soustrait de minuscules niveaux de signal pour obtenir le résultat souhaité par l’adversaire.
Les bits de stockage prennent
Comme pour la plupart des technologies informatiques, l’accélération du fonctionnement des classificateurs a été le moteur de la plupart des recherches. La sécurité est une réflexion après coup.
Pourtant, à mesure que de plus en plus de nos technologies intègrent des modèles d’apprentissage automatique, leur sécurité, ou leur absence, devient critique. Imaginez un malware qui non seulement se cache, comme la plupart le font déjà, mais qui infecte également les classificateurs de malware pour les rendre aveugles à toute trace de sa présence.
Je suis sûr que les méchants y travaillent déjà. Je me demande quelles entreprises s’excuseront l’année prochaine pour leur effroyable manque de prévoyance ?
En tant qu’analyste ayant suivi mes prédictions sur plusieurs décennies, j’ai tendance à surestimer la vitesse à laquelle les résultats souhaités se produisent et à sous-estimer la vitesse à laquelle les résultats moins souhaitables se développent. J'espère que je me trompe, mais je crains que le piratage des modèles d'apprentissage automatique ne soit un problème à court terme, si cela n'a pas déjà commencé.
Les commentaires sont les bienvenus, comme toujours.