曹玉龙是密歇根大学计算机科学与工程专业的博士生。Z. Morley Mao是密歇根大学电子工程和计算机科学教授。本文最初刊登在《对话》杂志上。
对自动驾驶汽车来说,没有什么比感知周围发生的事情更重要的了。与人类驾驶员一样,自动驾驶汽车也需要具备即时决策的能力。
如今,大多数自动驾驶汽车依靠多个传感器来感知世界。大多数系统使用相机、雷达传感器和激光雷达(光探测和测距)传感器的组合。在车上,计算机将这些数据融合在一起,形成一个关于汽车周围情况的综合视图。如果没有这些数据,无人驾驶汽车将无法安全地在世界上行驶。使用多个传感器系统的汽车工作得更好,也更安全——每个系统都可以作为对其他系统的检查——但没有一个系统可以免受攻击。
不幸的是,这些系统并非万无一失。基于摄像头的感知系统可能会被简单地欺骗,只要在交通标志上贴上贴纸,就能完全改变其含义。
我们来自密歇根大学(University of Michigan)健壮网络研究小组(RobustNet Research Group)的工作表明,基于激光雷达的感知系统也可以组成。通过战略性地欺骗激光雷达传感器信号,攻击能够欺骗车辆的基于激光雷达的感知系统“看到”不存在的障碍。如果发生这种情况,车辆可能会因阻塞交通或突然刹车而导致撞车。
欺骗激光雷达信号
基于激光雷达的感知系统有两个组成部分:传感器和处理传感器数据的机器学习模型。激光雷达传感器通过发射光信号并测量信号从物体反射到传感器所需的时间来计算自身和周围环境之间的距离。这种来回的持续时间也被称为“飞行时间”。
激光雷达每秒发出数万个光信号。然后,它的机器学习模型使用返回的脉冲来描绘出车辆周围的世界。这类似于蝙蝠在夜间利用回声定位来知道障碍物的位置。
问题是这些脉冲可以被欺骗。为了欺骗传感器,攻击者可以向传感器发出自己的光信号。你只需要把传感器弄混就行了。
然而,欺骗激光雷达传感器“看到”不存在的“车辆”就更难了。为了成功,攻击者需要精确地确定向受害者激光雷达发射信号的时间。这必须在纳秒级发生,因为信号以光速传播。当激光雷达使用测量的飞行时间来计算距离时,微小的差异将会突出。
如果攻击者成功地欺骗了激光雷达传感器,那么它还必须欺骗机器学习模型。OpenAI研究实验室的工作表明,机器学习模型容易受到特殊设计的信号或输入——即众所周知的对抗性例子——的影响。例如,在交通标志上特别生成的贴纸可以欺骗基于摄像头的感知。
我们发现,攻击者可以使用类似的技术来制造干扰,以对抗激光雷达。它们不会是看得见的贴纸,而是专门制造的欺骗信号,让机器学习模型以为存在障碍,而实际上没有。激光雷达传感器将把黑客的虚假信号输入机器学习模型,机器学习模型将识别它们为障碍。
对抗性的例子——假对象——可以精心制作,以满足机器学习模型的期望。例如,攻击者可能会创建一辆不移动的卡车的信号。然后,为了进行攻击,他们可能会把它设置在一个十字路口,或把它放在自动驾驶汽车前面的一辆汽车上。
两种可能的攻击
为了演示设计好的攻击,我们选择了许多汽车制造商使用的自动驾驶系统:百度Apollo。该产品已有100多家合作伙伴,并已与沃尔沃、福特等多家制造商达成量产协议。
通过使用百度阿波罗团队收集的真实世界传感器数据,我们演示了两种不同的攻击。在第一个“紧急刹车攻击”中,我们展示了攻击者如何通过欺骗车辆,使其认为道路上出现了障碍,从而突然停止行驶中的车辆。在第二项“自动驾驶汽车冻结攻击”中,我们使用了一个假障碍物来欺骗一辆停在红灯前的车,让它在绿灯后继续停在那里。
通过利用自动驾驶感知系统的漏洞,我们希望为构建自动驾驶技术的团队敲响警钟。对自动驾驶系统中新型安全问题的研究才刚刚开始,我们希望在道路上被坏人利用之前发现更多可能的问题。
