稳定欺骗百度自动驾驶系统，让车辆无视交通标志

前情回顾·新技术安全

安全内参5月13日消息，六位来自新加坡大学的研究员表示，他们已经证明，可以通过摄像头视觉技术干扰自动驾驶汽车，导致车辆无法识别道路标志。

国际计算机协会（ACM）国际移动软件工程和系统会议计划下月举办，研究员将在会上发表论文，介绍这项名为GhostStripe的技术。这种技术虽然肉眼不可见，但可能对特斯拉和百度Apollo驾驶系统构成致命威胁，因为它利用了这两个品牌所采用的CMOS摄像头传感器。

GhostStripe通过利用LED灯向道路标志投射特定图案，使汽车的自动驾驶软件无法理解这些标志。这种方法属于机器学习领域的经典对抗攻击。

该技术的关键在于滥用典型CMOS摄像头传感器的滚动数字快门机制。LED灯在主动捕获线沿传感器移动时快速闪烁，将不同颜色的光投射到标志上。通过这种人工照明，停车标志上的红色在每条扫描线上可能呈现不同的外观。

图：针对自动驾驶汽车交通标志识别的“隐形”对抗攻击

因此，摄像头捕获到的图像达不到预期的线条匹配度。随后，图像被裁剪并发送到汽车自动驾驶软件内的分类器。通常，分类器会基于深度神经网络解释图像。由于图像充满了看起来不正常的线条，分类器无法将其识别为交通标志，因此车辆不会对其采取行动。这些内容在先前的研究中已经得到证实。

然而，研究人员不仅通过上述方法扭曲标志的外观，还声称能够稳定地重复这样的操作。该团队并不满足于仅通过一张扭曲的图像混淆分类器，而是让摄像头捕获的每一帧图像都呈现出异常的外观，从而使这种攻击技术在现实世界中变得可行。

研究人员解释说：“要实现稳定的攻击，需要根据受害者摄像头的操作信息，以及实时估计的摄像头视野内交通标志位置和大小，精心控制LED的闪烁。”

该团队开发了两个版本的稳定攻击手段。第一种称为GhostStripe1，无需接触车辆即可实施。它利用跟踪系统监视目标车辆的实时位置，并根据情况动态调整LED的闪烁，确保标志无法被正确识别。

另一种更为针对性，称为GhostStripe2，需要接触车辆，或许可以在车辆维护时由犯罪分子秘密实施。它在摄像头的电源线上放置一个传感器，以检测拍摄时刻，从而精确控制时间，完成近乎完美的攻击。

研究人员写道：“总之，这项技术针对特定受害车辆，控制受害者的交通标志识别结果。”

该团队在真实道路上测试了他们的系统，测试车辆配备了百度Apollo硬件参考设计中使用的Leopard Imaging AR023ZWDR摄像头。他们对停车、让行和限速标志进行了测试。

据研究人员称，GhostStripe1的成功率为94％，GhostStripe2的成功率为97％。值得注意的是，强烈的环境光会降低攻击的性能。该团队表示：“性能下降是因为攻击光被环境光掩盖了。”这表明犯罪分子在计划攻击时需要仔细考虑时间和地点。”

有多种方法可以对抗上述攻击。最简单的做法是将滚动快门CMOS摄像头替换为一次拍摄整个画面的传感器，或者对行扫描进行随机化。此外，增加更多摄像头可能会降低成功率，足以抵御这种程度的黑客攻击。我们还可以将这种攻击加入AI训练数据，以使系统学会如何应对。

这项研究属于对抗性输入欺骗自动驾驶汽车神经网络这一研究领域。此前，曾有研究团队使用该方法迫使特斯拉Model S突然偏离车道。

这项研究表明，仍然有很多AI和自动驾驶车辆安全问题有待解决。外媒The Register已请求百度就其Apollo摄像头系统发表评论，一旦有实质性回复，将进行报道。