敵対的パッチとは
敵対的パッチ(Adversarial Patch)とは、物理世界に配置可能な特殊なパターン(パッチ)を使ってAIモデルの判断を誤らせる攻撃手法です。従来の敵対的サンプルが画像全体に微小なノイズを加えるのに対し、敵対的パッチは目に見える形状のパッチを画像の一部に貼り付けることで攻撃を実現します。
物理世界での攻撃
敵対的パッチの最大の特徴は、デジタルデータの操作だけでなく物理世界でも機能することです。実際にステッカーやポスターとして印刷し、現実の物体に貼り付けることでAIの認識を妨害できます。例えば、停止標識に特定のパッチを貼ることで自動運転車の標識認識を誤らせる研究が報告されています。
攻撃の仕組み
敵対的パッチは、最適化アルゴリズムを用いて設計されます。パッチのピクセル値を調整し、AIモデルの特徴抽出における活性化パターンを操作することで、モデルの出力を意図的に制御します。場所やサイズ、角度に対してロバストに動作するよう設計されるため、物理世界でも効果を発揮します。
セキュリティへの影響と対策
監視カメラシステムや自動運転など、視覚認識に依存するシステムにとって深刻な脅威です。対策としては、パッチ検出アルゴリズムの開発、注意機構を活用した異常領域の特定、複数センサーの統合による冗長性確保などが研究されています。AIシステムの実世界展開においては、こうした物理的攻撃への耐性を十分に評価する必要があります。