Esta es la era de la vigilancia ubicua, los campos de batalla transparentes, los algoritmos de Inteligencia Artificial buscando con avidez objetivos a los que atacar y pronto (tan pronto como ya), la era de los drones autónomos y las municiones merodeadoras que han reducido enormemente el tiempo de decisión en el bucle OODA. ¿Cómo desarrollar sistemas que sean (al menos imperfectamente) capaces de engañar a la primera ola de algoritmos de Inteligencia Artificial? ¿Cómo envenenar y subvertir los sistemas de IA a bordo de los sistemas autónomos del enemigo?
Hackers en la era de los sistemas de armas autónomos
Nos gusta ver a Kallisto Shield como el primer sistema defensivo diseñado específicamente para engañar y hackear los algoritmos de IA/ML (por Machine Learning) de visión artificial que son utilizados en la detección, identificación y selección de activos militares por los primeros sistemas autónomos militares (drones autónomos o semiautónomos que localizan y realizan el guiado terminal para destruir objetivos).
El Pentágono y otras fuerzas armadas de todo el mundo son muy conscientes de las limitaciones de la generación actual de algoritmos de IA/ML y de las arquitecturas existentes de visión artificial. Incluso si la generación actual de algoritmos basados en redes neuronales convolucionales y transformadores de visión es más eficiente que el analista humano en la detección e identificación de objetos, llevará algún tiempo desarrollar la próxima generación de algoritmos de IA para la detección de objetivos que sean capaces de evitar ser confundidos por "mentes humanas":
Un algoritmo de aprendizaje automático entrenado para reconocer ciertos vehículos en imágenes satelitales, por ejemplo, también podría aprender a asociar el vehículo con un determinado color del paisaje circundante. Un adversario podría engañar a la IA cambiando el escenario alrededor de sus vehículos. Con el acceso a los datos de entrenamiento, el adversario también podría implantar imágenes, como un símbolo en particular, que confundirían al algoritmo.[1] (1)
Inyectar imágenes envenenadas (llamémoslas señuelos) de forma similar a los Ataques de Inyección Rápida (Prompt injection Attack), permite envenenar el entrenamiento de los algoritmos de aprendizaje automático e Inteligencia artificial. Podemos llamar a este tipo de engaño “Ataque por inyección de características” (Feature Injection Attack). Tengamos en cuenta que no estamos considerando solo imágenes RGB, sino también imágenes recogidas por cámaras térmicas, IR, SAR (radar de apertura sintética) y cualquier otra salida de un sensor utilizado en la fusión de datos que alimenta a cualquier algoritmo de detección de objetivos (targeting).
Esta es una muy buena manera de aumentar la clasificación errónea de los algoritmos inteligencia artificial utilizados en la detección de objetivos y una buena manera de manipular y aumentar los defectos de los sistemas de inteligencia artificial actuales (sobre los futuros no podemos obviamente emitir una opinión) debido al diseño interno de sus algoritmos.
Una estrategia más astuta es impedir el entrenamiento de los algoritmos de IA impidiendo la recopilación de conjuntos de datos de entrenamiento. Podemos llamar a esta parte de la estrategia del engaño "disimulo", el hecho de tratar de ocultar tus verdaderos sentimientos, carácter, intenciones... o características. No hay que olvidar que las características se utilizan y son el punto de partida de cualquier algoritmo de visión artificial.
Una tercera estrategia es la “simulación”, el acto de mostrar una característica o firma (electromagnética) para ofuscar la identidad, la ubicación o acción de un activo militar, es decir, crear una situación o evento que parece real pero no lo es.
El disimulo y la simulación generalmente se realizan en conjunto. Siempre se mostrará algo (ya sea un objetivo o una pantalla de radar en blanco) mientras que la verdadera firma estará oculta. Al usar ambos métodos, podemos crear ambigüedad o duda en los sistemas del enemigo con notable eficiencia. Reconociendo que nuestro mundo continúa dirigiéndose hacia más y más datos, los ejércitos deben tomar decisiones conscientes (y rápidas en nuestra opinión) en relación a los datos que se ponen libremente a disposición de los medios de adquisición enemigos (satélites, drones, globos de gran altitud).
¿Debemos permitir que los sensores de nuestros enemigos adquieran las firmas electromagnéticas de nuestras unidades, nuestros puestos de mando y nuestros vehículos?
Espectro electromagnético (Kallisto IA)
En Kallisto AI creemos que las alteraciones físicas, el camuflaje, la ocultación y el engaño pueden resultar útiles para derrotar las primeras aplicaciones del análisis de datos y la recopilación de firmas impulsados por IA. Nuestro sistema Kallisto Shield:
- Limita la adquisición de firmas electromagnéticas de activos militares por parte de cualquier sensor y oculta la firma real para enmascarar el activo militar (disimulo).
- Muestra diferentes firmas para ofuscar la identidad del activo militar (simulación).
- Inyecta firmas envenenadas (señuelos) en la fase de entrenamiento de los algoritmos de inteligencia artificial de nuestros enemigos.
Y ¿cómo un sistema prácticamente mecánico puede conseguir estos efectos?
- Al cubrir nuestros activos militares (ya sea un vehículo, un polvorín avanzado o un puesto de mando) con un panel superior, estamos evitando la adquisición de la firma electromagnética de dichos elementos. Asimismo, estamos ocultando la verdadera firma electromagnética.
- Al modificar el orden de los paneles (no olvidemos que cada panel es de un material diferente, y por lo general de un material estándar y de amplio uso civil), estamos mostrando diferentes firmas en todo el espectro.
- Al permitir la captura de la firma electromagnética del conjunto “Kallisto Shield” instalado sobre el activo militar, estamos inyectado firmas erróneas en la fase de entrenamiento de los algoritmos de detección de nuestros enemigos.
Paneles Kallisto (Kallisto IA)
Como efectos secundarios adicionales, Kallisto Shield puede ayudar a confundir a algunas armas enemigas (engaño), es decir, munición merodeadora de gama media/baja que utilice algoritmos de visión artificial (por ejemplo los Lancet rusos) para detectar, apuntar y destruir objetivos militares. Esto es debido a que aumenta la probabilidad de detectar un señuelo usando Kallisto Shield como si fuera un vehículo real usando Kallisto Shield.
Nuestro objetivo es por lo tanto romper la primera etapa de la cadena de ataque o “kill chain”.
Kallisto Shield está protegido por el Tratado de Cooperación en materia de Patentes (PCT), con solicitudes de patente nacionales presentadas en los principales mercados de defensa mundiales (en azul en el siguiente mapa) como son Europa, los Estados Unidos de América, Ucrania, China, Arabia Saudita, Australia e India. Información adicional sobre Kallisto Shield está disponible en la página de producto.
Propiedad Intelectual (Kallisto IA)
(Raúl Álvarez, Director General de Kallisto IA y profesor del curso de “Inteligencia Artificial para la Defensa” en CISDE)