对自动驾驶汽车而言,最重要的是感知周围发生的事情。与人类驾驶员一样,自动驾驶汽车也需要即时决策的能力。目前,大多数自动驾驶汽车依靠多个传感器感知世界。大多数系统使用摄像头、雷达传感器和激光雷达传感器组合。车载计算机将这些数据融合在一起,形成对汽车周围情况的全面了解。没有这些数据,自动驾驶汽车就无法安全行驶。由于每个系统都可以检测其他系统,因此使用多个传感器系统的汽车性能更好,也更安全。但这些系统并非万无一失,简单地在交通标志上贴上标签,完全改变其含义,就可以欺骗摄像头感知系统。
(图片来源:theconversation.com)
据外媒报道,密歇根大学RobustNet 研究小组与加州大学欧文分校的计算机科学家Qi Alfred Chen和SPQR实验室的同事们合作研究发现,激光雷达感知系统也可以被欺骗。通过欺骗激光雷达传感器信号,从而欺骗车辆激光雷达感知系统,使其看到根本不存在的障碍。如果发生这种情况,车辆可能会突然刹车而导致撞车。
激光雷达感知系统有两个组成部分,即传感器和处理传感器数据的机器学习模型。激光雷达传感器通过发出光信号,并测量光信号从物体反射回传感器的时长,计算自身与周围环境之间的距离,这种来回的时间也称为飞行时间。
激光雷达装置每秒发出成千上万的光信号。随后,其机器学习模型利用返回的脉冲绘制汽车周围的世界,这类似于蝙蝠在夜间利用回声定位感知障碍物的位置。但是这些脉冲可以被欺骗。攻击者可以向传感器发出光信号,以混淆传感器。
然而,欺骗激光雷达传感器,使其看到不存在的车辆更加困难。由于信号以光速传播,攻击者需要以纳秒级精度计算发射到目标激光雷达上的信号的时间。当激光雷达使用飞行时间来计算距离时,细微的差异会显现出来。
如果攻击者成功地欺骗了激光雷达传感器,还必须欺骗机器学习模型。OpenAI研究实验室的研究表明,机器学习模型很容易受到特殊信号或输入的影响,这称为对抗样本。例如,特殊制成的交通标志贴纸可以欺骗摄像头传感器。
研究人员发现攻击者可以使用类似的方法干扰激光雷达。攻击者利用专门用于欺骗机器学习模型的信号,让其误以为存在障碍。激光雷达传感器将黑客的虚假信号输入机器学习模型,机器学习模型会识别这些信号,而误以为存在障碍。对抗样本经过精心设计,可满足机器学习模型的期望。例如,攻击者可能会发出卡车静止的信号。为了实施攻击,攻击者可能将其设置在十字路口,或者将虚假信号置于自动驾驶汽车前面的车辆。
研究人员选择了一个有较多汽车制造商使用的自动驾驶系统,并使用该团队收集的真实世界传感器数据,演示了两种不同的攻击。在“紧急刹车攻击”中,展示了攻击者如何让车辆误以为路上出现了障碍物,而突然刹车。在“自动驾驶冻结攻击”中,研究人员使用虚假障碍,愚弄一辆在红灯前停下的车辆,使其在红灯变绿后仍然停滞不前。
研究人员表示,希望通过利用自动驾驶感知系统的漏洞,为构建自动驾驶技术的团队敲响警钟。关于自动驾驶系统中新型安全问题的研究才刚刚开始,研究人员希望在系统被攻击前发现更多潜在漏洞。