尽管对研究人员而言攻击汽车已经不是什么新鲜事了,但是针对汽车的攻击行为依然是一个热门话题。以前,研究人员已经演示过如何远程劫持汽车、如何禁用汽车的关键功能,如安全气囊等,甚至如何窃取汽车。
但是最新的汽车攻击手段不需要借助任何额外的技能就可以轻松实现,你需要做的只是将一个简单的贴纸贴在标志牌上即可混淆任何自驾车并造成安全事故。
在“车辆与基础设施互联”(V2I)技术普及之前,现阶段自驾车与驾驶辅助系统还是需要倚靠视觉辨识,才能通过号志牌确认道路的使用状态。但根据一项来自华盛顿大学、密西根大学、石溪大学和加利福尼亚大学的研究显示,欺骗自动驾驶车辆其实非常容易,任何人都可以在家中打印一些贴纸,并将其贴在路牌上,简单的步骤就可以让深度学习的视觉系统被欺骗,并最终导致意外发生。
重点是,这些贴纸虽然看起来像是涂鸦的恶作剧,但实际上却是一种用来欺骗混淆行车辅助视觉系统的新型算法。例如,这种算法误导自驾车的辅助视觉系统把“停止(Stop)”标志判断成了“限速”牌,进而可能造成行车意外。
近日,华盛顿大学的安全研究员 Yoshi Kohno在一篇名为《Robust Physical-World Attacks on Machine Learning Models》的研究论文中,就展示了他与同事们开发的这种新的算法“Robust Physical Perturbations”(RP2),简单地通过彩色打印机和相机生成一些彩色或者黑白的图案,就可以迷惑自动驾驶汽车用于记录和分析道路信息的路标分类器(road sign classifier)。
研究人员用这套算法做了两种方式的尝试,使用的都只是家用彩色打印机。其中一个实验是打印出了一张右转弯的标志,覆盖在原有的路牌上;另一个是用彩色贴纸给“停车”(STOP)标志牌贴出了“love”和“hate”两个单词,对应的路标分类器将其都误认为是限速 45英里/小时(约为72千米/小时)的标志。这两种实验在 1.5-12米的范围内、5-40 度视角内都有效。
【打印出一张右转弯的标志,覆盖在原有的路牌上】
【在“停车”(STOP)标志牌贴上“love”和“hate”两个单词】
此外,研究人员还用一块较小的贴纸贴在“停止”标志牌上进行遮掩,造成一部分视觉障碍,结果100%的自动驾驶汽车将该标志牌识别为一件街头艺术品,未予理睬。
这种情况与自动驾驶系统所使用的图像识别和深度学习算法有关系,深度学习算法用来研究、分类这些道路上记录的行人、指示灯以及其他车辆等信息。而图像识别系统先记录再进行分类识别,但使用算法来研究这些道路指示牌就很容易出现问题。
在这份研究论文中,研究人员写道:
我们认为,考虑到警告信号的相似性,一些微小的干扰就足以使分类器感到困惑。在未来的工作中,我们计划通过对其他警告标志进行有针对性的分类攻击来探索这一假设。
修改道路指示牌虽说是违法的,但并不代表没有人会恶意涂改。毕竟对于有心攻击或对这类系统进行恶作剧的人士而言,这样简单贴上特制图样贴纸的方式,确实要比黑入单一车辆系统要来得简易很多。也就意味着,虽然这只是一个小概率事件,但在一些人为恶意操作,或者是恶劣天气下,这种情况仍然可能会发生。
针对这样的状况,看来道路养护单位需要对类似刻意污损涂鸦号志的问题提高警惕。然而在这类车辆全面导入 V2I 之前,除了改采用具备可验证信息正确性图样的标志牌或通过逻辑判断之外,可能就只能通过物理上的让人不能靠近标志牌或使用很难进行改造或黏贴的材质等方面来进行防止了。
其实这已经不是自动驾驶系统第一次出现潜在的隐患。此前沃尔玛自动驾驶项目 Drive Me 的技术总监戴维·皮克特就承认,当澳洲的袋鼠跳到空中时,他们在测试的自动驾驶汽车会判断袋鼠跟车的距离拉开,可能没法及时调整车速,最终可能会导致碰撞事件。
如此看来,在识别路牌的问题上,自动驾驶汽车暂时还没有人眼好用哦。
