面对恶意噪声威胁,脑机接口系统真的安全吗?《国家科学评论》刊发实验室研究成果

9月10日,《国家科学评论》(National Science Review)在线刊发人工智能与自动化学院伍冬睿教授团队题为“小噪声,大误差:对抗扰动让脑机接口文字输入产生错误”(Tiny noise, big mistakes: adversarial perturbations induce errors in Brain-Computer Interface spellers)的研究论文。伍冬睿教授和土木工程与力学学院丁烈云院士为通讯作者,2018级硕士生张潇为论文第一作者。该工作与土木工程与力学学院骆汉宾教授、悉尼科技大学Chin-Teng Lin教授、加州大学圣地亚哥分校Tzyy-Ping Jung教授和苏黎世应用科技大学Ricardo Chavarriaga博士合作完成。

脑机接口(Brain-Computer Interfaces, BCIs)作为一种新型的人机交互技术,旨在构建一条通路来读取大脑电信号并且分析用户意图从而非肌肉式地控制下游设备。随着脑机接口技术的不断发展,其逐渐开始被应用于神经科学、康复医疗、心理科学、电子娱乐等各个领域。特斯拉和NeuroLink公司CEO马斯克最近表示:“从原则上讲,它可以修复大脑有问题的任何东西,包括恢复视力、治疗瘫痪和老年痴呆等。”

脑机接口系统示意图

目前比较常见的脑机接口系统有基于头皮脑电信号(Electroencephalogram, EEG)控制的机械假肢、轮椅以及文字输入等。随着这些产品的逐渐成熟以及产品化,一个重要的问题引起了广泛的讨论:目前常用的脑机接口系统存在安全隐患吗?

基于P300/SSVEP信号的脑机接口文字输入系统示意图。其中P300文字输入系统通过识别用户注视字符的行和列来识别字符,而SSVEP文字输入系统则通过识别用户注视字符的闪烁频率来识别字符。

论文指出,目前常用的基于头皮脑电信号的脑机接口文字输入系统非常容易受到一种对抗噪声模板的干扰。这种恶意噪声模板十分微弱,添加到原始信号中甚至无法用肉眼区分,也很难通过计算机程序检测出来,但是它却能任意操控脑机接口文字输入系统。文章以最常用的P300文字输入系统和SSVEP文字输入系统为例,根据其使用的模型构建相应的对抗噪声模板,并在多个用户上取得了较高的篡改成功率。实验结果表明,目前的脑机接口文字输入系统中使用的模型存在着安全隐患。这种攻击技术可以带来可大可小的危害:小到让脑机接口用户不能正常打字,大到医院里面的误诊,或者攻击者随时控制跟脑机接口连接的轮椅或外骨骼系统来伤害使用者。

添加噪声前后SSVEP信号的对比。a)添加噪声后输出“Y”被篡改为“N”(干扰前后信号重合画出)。b)信号频谱能量分析对比。

论文同样强调,脑机接口系统对该恶意噪声的抵御能力是一种区别于常见噪声鲁棒性的性质:即使对常见的随机噪声保有较好鲁棒性的脑机接口文字输入系统,依然极容易被这种恶意设计的对抗噪声所操控。而且更加严重的是,这种隐患不仅仅存在于脑机接口文字输入系统,也同样存在于其他类似的脑机接口系统中。因此,如何设计具有较高对抗鲁棒性的脑机接口模型或范式便显得尤为重要,需要脑机接口领域特别地关注。

该研究得到了科技部政府间国际科技创新合作重点专项、国家自然科学基金重点和面上项目、湖北省人工智能重大专项和湖北省杰出青年基金等项目支持。团队正在进行可穿戴设备在智能建造中的应用研究。

论文链接:https://doi.org/10.1093/nsr/nwaa233

新闻链接:http://news.hust.edu.cn/info/1003/40093.htm

You may also like...