自动驾驶汽车可能会被骗去“看到”不存在的障碍物

导读 没有什么比感知周围发生的事情更重要的了。 与人类司机一样,自主车辆需要即时决策的能力。今天,大多数自主车辆依靠多个传感器来感知世界

没有什么比感知周围发生的事情更重要的了。 与人类司机一样,自主车辆需要即时决策的能力。

今天,大多数自主车辆依靠多个传感器来感知世界。 大多数系统使用相机、雷达传感器和李大器(光探测和测距)传感器的组合。 在飞机上,计算机融合这些数据,以创造一个全面的看法,发生在汽车周围。 没有这些数据,自动驾驶汽车就没有安全航行世界的希望。 使用多个传感器系统的汽车既工作得更好,也更安全-每个系统都可以作为对其他系统的检查-但没有一个系统能免受攻击。

不幸的是,这些系统并不是万无一失的。 基于相机的感知系统可以简单地通过在交通标志上贴上贴纸来完全改变它们的意义来欺骗。

我们的工作,来自密歇根大学的稳健网络研究小组,已经表明,基于李大器的感知系统也可以包括在内。 通过从战略上欺骗LiDA R传感器信号,这种攻击能够愚弄车辆基于LiDA R的感知系统,使其“看到”一个不存在的障碍。 如果发生这种情况,车辆可能会突然阻塞交通或刹车而造成撞车。

李DAR信号的欺骗

基于LiDA R的感知系统有两个组成部分:传感器和处理传感器数据的机器学习模型。 一个LiDA R传感器通过发出光信号并测量该信号从物体上反弹并返回传感器所需的时间来计算自身与周围环境之间的距离。 这种来回的时间也被称为“飞行时间”。

一个LiDA R单元每秒发出数万个光信号。 然后,它的机器学习模型使用返回的脉冲绘制车辆周围世界的图片。 它类似于蝙蝠如何使用回声定位来知道夜间障碍物在哪里。

问题是这些脉冲可以被欺骗。 为了愚弄传感器,攻击者可以在传感器上发出自己的光信号。 你只需要把传感器搞混。

然而,欺骗李大器传感器更难“看到”一个不存在的“车辆”。 为了成功,攻击者需要精确地计时向受害者李达尔射击的信号。 这必须发生在纳秒级,因为信号以光速传播。 当李大器使用测量的飞行时间计算距离时,小的差异将突出。

如果攻击者成功地欺骗了李大器传感器,那么它也必须欺骗机器学习模型。 在OpenA I研究实验室所做的工作表明,机器学习模型容易受到特殊制作的信号或输入的影响-这就是所谓的对抗性例子。 例如,在交通标志上特别生成的贴纸可以愚弄基于相机的感知。

我们发现,攻击者可以使用类似的技术来制造针对LiDAR的扰动。 它们将不是一个可见的标签,但欺骗信号是专门创造的,以欺骗机器学习模型,使其认为存在障碍,而实际上没有障碍。 李DA R传感器将黑客的假信号反馈给机器学习模型,机器学习模型将识别它们为障碍。

对抗性的例子-假对象-可以被精心设计以满足机器学习模型的期望。 例如,攻击者可能会创建一辆没有移动的卡车的信号。 然后,为了进行攻击,他们可能会把它设置在一个十字路口,或者把它放在一辆自动驾驶车辆前面的车辆上。

两次可能的袭击

为了演示设计的攻击,我们选择了许多汽车制造商使用的自主驾驶系统:百度阿波罗。 该产品拥有100多个合作伙伴,并与包括沃尔沃和福特在内的多家制造商达成了批量生产协议。

通过使用百度Apollo团队收集的真实世界传感器数据,我们演示了两种不同的攻击.. 在第一个,“紧急刹车攻击”,我们展示了攻击者如何突然停止移动的车辆,通过欺骗它认为障碍出现在它的道路上。 第二,一次“AV冻结攻击”,我们用一个欺骗的障碍来愚弄一辆在红灯处被停下来的车辆,在灯变绿后继续停止。

通过利用自主驾驶感知系统的漏洞,我们希望为建立自主技术的团队触发警报。 对自主驾驶系统中新型安全问题的研究才刚刚开始,我们希望能发现更多可能的问题,然后才能被不良行为者在道路上利用。

免责声明:本文由用户上传,如有侵权请联系删除!