AI i trådlös kommunikation kan skapa risker

Framöver kommer AI troligen ingå i trådlösa kommunikationssystem som Försvarsmakten använder. I en rapport undersöker FOI-forskare vilka sårbarheter det kan medföra och hur systemen riskerar att attackeras av en motståndare.

Det stora genomslaget som AI och maskininlärning har fått de senaste åren håller nu även på att ske inom trådlös kommunikation, som radio.

– I radiosystem är det en kedja av algoritmer som används för att bearbeta data, sända data genom luften och sedan avkoda den på mottagarsidan. Det finns traditionell signalbehandling som kan göra det, men det går också att byta ut den helt eller delvis mot AI-teknik för att göra samma sak, säger Erik Axell som är laborator på FOI:s avdelning Telekrig i Linköping.

Tillsammans med fyra FOI-kollegor har han på uppdrag av Försvarsmakten skrivit rapporten Hot- och sårbarhetsanalys av attacker mot AI i trådlösa kommunikationssystem. Där utgår de från tidigare arbeten på området för att analysera potentiella risker och sårbarheter.

– De senaste fem, tio åren har det publicerats väldigt mycket vetenskapligt där AI-teknik föreslås användas på olika sätt i trådlösa kommunikationssystem. Vi vet att det finns en del AI-teknik inskriven i dagens mobiltelefonistandard, men hur mycket det används i praktiken är svårt att veta, säger Erik Axell.

Kategorisering av attackegenskaper

Än så länge är det också osäkert om AI används i militär trådlös kommunikation. Det sker troligen ganska snart, enligt Erik Axell. Framöver kan tekniken finnas i olika delar av systemen, även när det exempelvis gäller att fördela frekvenser effektivt.

Det är skralt med tidigare forskning om hot och sårbarheter för AI i trådlösa kommunikationssystem.

– Det har studerats inom bild- och språkbehandling, där har ju AI-boomen varit större och tidigare. Men man har sett att det går att göra sådana här attacker även mot trådlösa kommunikationssystem.

I rapporten går författarna igenom exempel på hur attacker kan gå till och försöker bedöma vilket hot de utgör. De utgår från åtta olika kategorier med egenskaper. En kategori kallas Domain, eller domän på svenska, och visar var attacken kan göras på en skala från digital till fysisk.

– Vid en digital attack behöver den som attackerar ha tillgång till indata till AI-modellen. Vid en fysisk attack kan motståndaren påverka indata fysiskt, till exempel sända en radiosignal genom luften. Här har vi gjort bedömningen att en helt digital attack blir mer av en cyberattack, som vi inte bedömer som så realistisk i radiosammanhang, säger Erik Axell.

En annan kategori kallas Knowledge, eller kunskap. I rapporten används begreppen whitebox, greybox och blackbox för att definiera vilken nivå av kunskap motståndaren har om sitt mål. I ett whitebox-fall har motståndaren fullkomlig och exakt kunskap om AI-modellen, medan den i ett blackbox-fall inte vet någonting. Kunskapsnivån greybox betyder att motståndaren har viss kunskap.

– Att en motståndare skulle veta exakt hur vår AI-modell ser ut och är tränad bedömer vi inte som realistiskt. Den kan möjligen veta principen, studera vetenskaplig litteratur och veta hur strukturen på AI-modellen ser ut – men inte veta exakt i detalj hur vi gjort.

Effektiva attacker möjliga trots låg kunskap

Mycket av den tidigare akademiska litteraturen på ämnet utgår trots det från att motståndaren har full kunskap, enligt Erik Axell, vilket blir orealistiskt. Det är ett av skälen till att tidigare studier är svåra att dra slutsatser av, konstaterar författarna i rapporten. De flesta är dessutom gjorda på bilder och språk, utan någon radiokanal inblandad.

– Där går det att göra attacken direkt på indata, vilket är en tydlig skillnad mot ett radiosystem. Ska man rikta attacken mot radio måste man ta hänsyn till kanalen.

Det som publicerats tidigare utgår också från väldigt enkla modeller av radiokanalen.

– För att se om det verkligen går att göra de här attackerna krävs en mer realistisk modell av en radiokanal. Det har inte gjorts tidigare i någon större utsträckning, säger Erik Axell.

Målet med rapporten har varit att bedöma hur realistiska attackerna är och hur allvarliga konsekvenserna kan bli. På grund av bristerna i tidigare arbeten är det svårt att ge ett klart svar på, enligt Erik Axell. Vissa slutsatser har dock gått att dra.

– Även om en motståndare bara har lite kunskap om en kanal går det att genomföra effektiva attacker. Det är det vi har sett. Exakt vad konsekvenserna skulle bli i praktiken har vi inte riktigt rett ut.

Det går inte att utesluta att sådana attacker blir allvarliga, men inte heller att slå fast motsatsen, menar Erik Axell. Dessutom, påpekar han, utgår den här sortens attacker från att AI faktiskt används i radiotekniken från början.

– Än så länge är det förmodligen inte så utbrett. Använder man inte AI så är det inte heller något hot.

Läs rapporten

Läs mer