攻击使自动驾驶汽车技术忽略道路标志

六名主要来自新加坡大学的研究人员表示，他们可以证明，通过利用自动驾驶汽车对基于摄像头的计算机视觉的依赖，让它们无法识别道路标志，从而干扰自动驾驶汽车是可能的。

这项技术被称为GhostStripe [PDF]，将在下个月的ACM国际移动系统会议上发表，人眼无法察觉，但对特斯拉和百度阿波罗的司机来说可能是致命的，因为它利用了这两个品牌使用的传感器——特别是CMOS相机传感器。

它基本上包括使用led在道路标志上发光，这样汽车的自动驾驶软件就无法理解这些标志;这是针对机器学习软件的典型对抗性攻击。

关键是，它滥用了典型CMOS相机传感器的滚动数字快门。当活动捕获线沿着传感器向下移动时，led迅速闪烁不同的颜色到标志上。例如，由于人工照明，停车标志上的红色阴影在汽车的每条扫描线上看起来都不同。

GhostStripe的论文描述了针对自动驾驶汽车交通标志识别的“隐形”对抗性攻击

结果是，相机捕捉到的图像中充满了线条，这些线条并不像预期的那样相互匹配。图片被裁剪后发送给汽车自动驾驶软件中的分类器(通常基于深度神经网络)进行解释。由于快照中充满了看起来不太正确的线条，分类器无法将图像识别为交通标志，因此车辆不会对其采取行动。

到目前为止，所有这些都已经被证明过了。

然而，这些研究人员不仅像描述的那样扭曲了标志的外观，而且他们说他们能够以稳定的方式重复做这件事。该团队没有试图用单个扭曲的帧来混淆分类器，而是能够确保摄像机捕获的每一帧看起来都很奇怪，从而使攻击技术在现实世界中变得实用。

研究人员解释说:“一个稳定的攻击……需要根据受害者摄像头的运行信息和摄像头视野中交通标志的位置和大小的实时估计，仔细控制LED的闪烁。”

该团队开发了这种稳定攻击的两个版本。第一个是GhostStripe1，它不需要进入车辆，我们被告知。它采用跟踪系统来监控目标车辆的实时位置，并相应地动态调整LED闪烁，以确保标识没有被正确读取。

• GhostStripe2是目标，并且确实需要进入车辆，这可能是由一个恶棍在车辆进行维护时秘密完成的。它包括在相机的电源线上放置一个传感器，以检测取帧时刻，并改进定时控制，以实现完美或近乎完美的攻击。

• “因此，它针对特定的受害者车辆，并控制受害者的交通标志识别结果，”学者们写道。

• 该团队在真实的道路上测试了他们的系统，并配备了豹成像AR023ZWDR，这是百度阿波罗硬件参考设计中使用的相机。他们测试了停车、退让和限速标志的设置。

• 研究人员称，GhostStripe1的成功率为94%，GhostStripe2的成功率为97%。

• 值得注意的一点是，强烈的环境光会降低攻击的性能。“这种退化的发生是因为攻击光被环境光淹没了，”研究小组说。这表明歹徒在策划袭击时需要仔细考虑时间和地点。

• 应对措施是可用的。最简单的方法是，将卷帘式CMOS相机换成一次性拍摄整张照片的传感器，或者将线扫描随机化。此外，更多的摄像头可能会降低成功率，或者需要更复杂的黑客攻击，或者攻击可以包含在人工智能训练中，以便系统学习如何应对它。

• 这项研究加入了其他使用对抗性输入来欺骗自动驾驶汽车神经网络的研究行列，其中包括一项迫使特斯拉Model S转向车道的研究。

• 研究表明，仍有许多人工智能和自动驾驶汽车的安全问题需要解决。已要求百度就其阿波罗(Apollo)相机系统发表评论，如果得到实质性答复，将予以反馈。

原文始发于微信公众号（HackSee）：攻击使自动驾驶汽车技术忽略道路标志