Китайські розробники виявили, що нейроінтерфейси, які виводять символи на основі викликаних потенціалів головного мозку, можна обдурити за допомогою впровадження в тестову вибірку невеликих коливань сигналу, непомітних людині. У цьому випадку коливання служать змагальним прикладом і плутають алгоритм, через що він у підсумку виводить не той символ, який потрібно, зчитуючи впроваджені сигнали. Подробиці про роботу доступні в препринті, опублікованому на arXiv.org.
Більшість нейрокомп'ютерних інтерфейсів, які дозволяють виводити на екран символи, ґрунтуючись на активності мозку того, хто на них дивиться, враховують два види викликаних потенціалів. Перший - позитивний компонент P300, який з'являється на електроенцефалограмі через 300 мілісекунд після пред'являється стимулу. Традиційно в таких системах використовується матриця з символами, в якому кожен стовпчик і ряд по порядку підсвічуються. Найінтенсивніші P300 з'являються на ЕЕГ тоді, коли потрібний символ знаходиться в підсвіченому стовпчику і ряду, а їх перетин дозволяє точно вказати символ і вивести його на екран.
Другий - SSVEP, зоровий викликаний потенціал стійкого стану, який на ЕЕГ відбивається в коливаннях тієї ж частоти, з якою пред'являється стимул. Для заснованого на цьому потенціалі нейроінтерфейсу необхідне зображення символів, кожен з яких блимає з певною частотою: коли людина дивиться на потрібний символ, на ЕЕГ з'являється сигнал відповідної частоти - і символ знову ж можна вивести на екран.
Просто зареєструвати активність мозку при демонстрації якогось стимулу і використовувати її, однак, не можна, тому будь-який нейрокомп'ютерний інтерфейс в першу чергу заснований на навчанні на великій кількості даних. Як і будь-який інший такий алгоритм, нейроінтерфейс цілком може бути підданий атакам ззовні, в тому числі за допомогою змагальних прикладів - даних, які не відрізняються від валідних для людини, але можуть бути неправильно інтерпретовані комп'ютером.
Перевірити вразливість P300 і SSVEP вирішили дослідники під керівництвом Сяо Чжана (Xiao Zhang) з Хуачжунського науково-технічного університету. Вони виявили, що для того, щоб обдурити кожну з систем, необхідно внести коригування сигналу за допомогою гаусівського шуму в кілька даних з тестової вибірки. Отримані коригування непомітні людському оку, але враховуються комп'ютером при обробці - це вважається хорошим змагальним прикладом.
Розглянемо таку атаку на прикладі P300. Припустимо, необхідний позитивний компонент з'являється при підсвічуванні третього ряду - він підсвічується через 350 мілісекунд після пред'явлення екрану. Шум можна накласти на сигнал, який з'являється на ЕЕГ в два рази раніше - на 175 секунді, тоді, коли підсвічується перший ряд. Система, таким чином, буде думати, що це і є потрібний рядок, а значить, символ знаходиться на ній.
У випадку з SSVEP дослідникам вдалося змусити систему класифікувати сигнал з частотою в 8,6 герца як сигнал з частотою в 13,2 герца, що відповідає різним літерам.
Поки що у таких атак два обмеження. По-перше, вона повинна бути налаштована на певного користувача інтерфейсу, що не робить її універсальною. По-друге, необхідно знати час пред'явлення стимулу, щоб розуміти, в який момент використовувати змагальний приклад. Якщо ці обмеження обійти, стверджують вчені, нейроінтерфейси будуть більш вразливі до атак, що може призвести до серйозних проблем для безпеки тих, хто їх використовує.
На жаль, вразливість сигнал перед випадковими коливаннями - не єдина і не первинна проблема сучасних нейрокомп'ютерних інтерфейсів: у більшості з них, наприклад, все ще досить низька продуктивність і точність. Про те, чому ідеальними подібні системи будуть ще не скоро, ви можете прочитати в нашому матеріалі «Не голова, а комп'ютер».