Manipulación de coches autónomos a través de señales físicas: un nuevo riesgo
Un reciente estudio de la Universidad de California en Santa Cruz ha revelado una amenaza inquietante para los vehículos autónomos: no es necesario intervenir directamente el software para manipular su comportamiento. Simplemente colocando textos estratégicamente diseñados en el entorno físico, estos coches pueden alteran su toma de decisiones.
Ejemplo de ataque con mensajes físicos
En las pruebas realizadas, un sistema de conducción autónoma ignoró un paso de peatones activo tras «leer» un cartel con la palabra “Proceed” (avance, prosiga). Esta investigación, que será presentada en la IEEE Conference on Secure and Trustworthy Machine Learning, analiza por primera vez ataques físicos que intervienen directamente en la inteligencia artificial embebida en los dispositivos.
Cómo la IA puede ser engañada mediante textos en el entorno
El estudio se centra en lo que denominan ataques de inyección indirecta de instrucciones en el entorno. Se trata de una evolución de los conocidos prompt injections aplicados a modelos de IA, pero sin necesidad de intervenir digitalmente: basta imprimir textos y colocarlos en las calles u otros espacios físicos.
Esto es posible gracias a los modelos de visión lenguaje, que permiten a la IA interpretar lo que “lee” en el entorno y actuar en consecuencia. Áreas como la conducción autónoma, la operación de drones o robots, comienzan a depender cada vez más de estos sistemas multimodales.
El método CHAI y su efectividad
El equipo de investigación, liderado por Álvaro Cárdenas y Cihang Xie, llamó a esta técnica “CHAI” (Command Hijacking Against Embodied AI). La probaron en tres contextos: conducción autónoma, drones en aterrizaje de emergencia y misiones de seguimiento aéreo. En simulaciones, el método alcanzó tasas de éxito de hasta el 95,5 % en drones y el 81,8 % en coches autónomos.
La estrategia opera en dos fases: primero, utiliza IA generativa para optimizar el contenido del mensaje y aumentar las probabilidades de que el sistema lo siga. Luego ajusta características visuales (color, tamaño y ubicación) para asegurar que el texto sea interpretado como una orden. Curiosamente, aún se desconoce por completo por qué ciertas variaciones visuales marcan la diferencia en la trampa.
Pruebas en el mundo real y alcance multilingüe
En un coche robótico pequeño, se imprimieron los mensajes generados y se colocaron en su ruta, logrando que el vehículo ignorase obstáculos y continuase avanzando con la orden «Proceed Onward». Además, el ataque funcionó en varios idiomas, como inglés, chino e incluso combinaciones como el spanglish.
Impacto en la seguridad y perspectivas futuras
Los investigadores probaron CHAI con modelos avanzados como GPT-4o y otros de código abierto que corren localmente en el hardware, demostrando que ambos pueden ser inducidos a comportamientos inseguros mediante estos mensajes.
Actualmente, los fabricantes suelen integrar cámaras con sensores como radar y LIDAR, y múltiples capas de verificación, lo que mitiga estos riesgos. Sin embargo, a medida que la industria avanza hacia sistemas más dependientes de modelos de visión-lenguaje integrales, estas amenazas podrían volverse un peligro tangible para la seguridad vial.
Responsabilidad del sector
Según Cárdenas, cada nueva tecnología trae consigo nuevas vulnerabilidades, por lo que es fundamental que la industria se anticipe y tome medidas preventivas antes de que estas técnicas se usen malintencionadamente.
Referencias y contexto adicional
Esta línea de investigación se suma a otros hallazgos sobre vulnerabilidades en coches autónomos, entre ellos ataques que emplean luces LED o interferencias en sensores LiDAR y radar para engañar a vehículos sin necesidad de acceso al software. La convergencia entre IA avanzada y sistemas físicos hace que la ciberseguridad en automoción sea un campo crucial para garantizar la seguridad en las vías.
Es vital que fabricantes, expertos en IA y reguladores colaboren para desarrollar sistemas robustos que eviten que simples objetos o textos físicos puedan poner en riesgo la vida de usuarios y peatones.
Acerca del autor
![position-au-volant[1]](https://blog.rodiautosport.es/wp-content/uploads/2024/10/position-au-volant1-150x150.jpg)
