黑客使用广告牌欺骗自动驾驶汽车

/ 导读 /

由于特斯拉、Waymo等创新型汽车制造商以及其他行业参与者，无人驾驶汽车现在成为热门话题。随着全自动驾驶汽车越来越接近现实，安全仍然是重中之重。最近，以色列研究人员小组的最新发现，可能会对使用计算机视觉系统观察世界的汽车产生影响。

他们发现，数字广告牌上停车标志的闪烁图像会导致自动驾驶汽车猛刹车。这可能会在道路上造成严重的问题，包括发生危险事故的风险。

许多人类的驾驶员闯过停车标志，也许它被藏在一根杆子后面，或者被另一车道上的一辆厢式货车遮挡了，停车标志设计的可能并不完美。另一方面，人们却不会因为他们看到了高速公路广告牌上的停车标志图片而刹车。

最近，无人驾驶汽车公司推出了计算机视觉系统，使他们的车辆以惊人的清晰度看世界。特斯拉就是其中之一。在整个2020年，汽车制造商一直在努力让其Autopilot系统识别并响应交通信号灯和停车标志的变化。目前，Beta版能够识别交通信号灯和停止标志。

不幸的是，该技术似乎存在严重缺陷。以色列研究团队在一份声明中解释了广告牌问题如何影响自动驾驶汽车。本·古里安大学的研究员伊斯罗尔·米尔斯基（Yisroel Mirsky）说：“攻击者只是照亮道路上的物体图像，或者在数字广告牌中注入几帧，汽车就会刹车或可能转弯，这很危险。”

在今年早些时候一项实验中，研究人员分别在道路、树木等物体上投射了人影、路标、道路标志线等误导性投影，结果搭载 HW2.5 Autopilot 的 Tesla Model X 全部识别成真实的标志。

而最近他们有发布一些新的研究成果，他们发现在一个电子广告牌中嵌入几帧的路标也能达到相同的效果。这就意味着，有哪些东西是人类驾驶员不会留意，但自动驾驶系统会注意到。

他们提醒说，如果黑客入侵了联网的广告牌，那么他们就能利用这一漏洞制造交通拥堵或事故，而且几乎不留下证据。这篇论文已被 2020 年第 27 届 ACM 计算机和通信安全（CCS）会议收录。

在这篇论文中，他们称这种现象为“ split-second phantom Attack”（分秒幻影攻击），这样一种科学缺陷，它导致两个先进的驾驶员辅助系统（ADAS），Telsa Model X（HW 2.5和HW 3）和Mobileye 630来处理无深度物体，作为真正的障碍物/物体出现几毫秒，讨论了瞬间幻影攻击为ADAS 带来的挑战。

攻击者只需通过将幻像路标嵌入数字广告牌上的广告中，来远程实施瞬间幻像攻击，这会导致特斯拉的自动驾驶突然在路中间停下汽车，Mobileye 630 发出虚假通知。

为了应对这种威胁，他们也提出了一项对策，仅使用摄像机传感器即可确定检测到的物体是幻影还是真实物体。该对策（GhostBusters）使用“专家经验的”方法，并将从四个轻型深度卷积神经网络中获得的结果进行组合，这些神经网络根据对象的光线，上下文，表面和深度来评估对象的真实性。证明了对策的有效性（TPR为0.994，FPR为零），并测试了其对付对抗性机器学习攻击的鲁棒性。

黑客轻松完成这项特技的过程令人震惊。也许最困难的部分是找到一个联网的广告牌，该广告牌应距离汽车的视野中的道路足够近。在当今广告充斥的世界中，似乎并不难找。虽然对于平面幻像，激光雷达的感知能力足够好，但是不可否认目前的视觉方案并不能足够的安全。

- End -