近日,華盛頓大學、密西根大學、斯託尼布魯克大學和加州大學伯克利分校的研究人員共同合作,找到了一種入侵自動駕駛汽車的新方法。這種方法非常簡單,你只需在街道的路標上張貼幾個小標籤,就能讓自動駕駛汽車受你控制。
首先,研究人員分析了汽車視覺系統中用來對圖像進行分類的算法,然後,他們篡改了視覺算法中對路標進行識別的代碼,以欺騙機器學習模型來對路標進行錯誤的理解。例如,他們列印了一些標籤貼在路標上來欺騙視覺系統,自動駕駛汽車把一個停車標誌認作為一個45英裡每小時的限速標誌,而這在現實世界中顯然是非常糟糕的。
在他們的論文中,研究人員展示了三不同的入侵方法,他們只需憑藉彩色印表機和攝像機就能干擾機器閱讀和分類的方式。這些實驗最令人不安的地方在於,這些小標籤能偽裝成塗鴉藝術或融入到路標的圖像中,讓人們很難察覺到。
第一種方法中,研究人員列印一張全尺寸的海報來蓋住一個停車路標,這就造成了機器視覺在整個測試過程中,從多個角度和距離,都將一個停車標誌歸類為限速標誌。這在機器看起來很正常,但人能很快察覺到這是欺騙性的標誌。第二種方法中,研究人員在停車標誌上貼了幾個小標籤,看起來像是塗鴉單詞「love」和「hate」,這使得機器視覺在三分之二的測試時間裡把停車標誌認為限速標誌,三分之一的時間裡認為是一個讓車標誌。這種幾個很小的、有意圖的抽象藝術標籤,能做到和海報的全掩蓋效果一樣。第三種方法中,在右轉的標誌上,研究人員用灰色的貼紙遮住了箭頭,讓機器視覺在三分之二的測試時間裡把右轉標誌當做一個停車標誌,三分之一的時間裡當做一個車道標誌。
為了使攻擊有效,黑客必須能夠知道汽車視覺系統中,用來對其所看到的道路標誌進行分類的算法(或者能夠根據系統的反饋來近似模擬算法)。在搞清楚如何讓視覺算法變得混亂之後,黑客只需要一張目標標誌照片、一臺彩色印表機、一些貼紙,以及讓某人以每小時45英裡的時速飛過停車標誌,就能入侵汽車。
不過,研究人員也有辦法來防禦這種入侵方式。自動駕駛初創公司Voyage的高級研究員Tarek El-Gaaly說,汽車判定自身所在的位置是解決這種入侵的關鍵。比如汽車首先根據定位系統判定出它所在的位置,然後再去識別路標,這樣汽車就能知道它不應該在城市地區以高速公路上的速度行駛。
然而, Tarek El-Gaaly還說,如今許多自動駕駛汽車都配備了多個傳感器,黑客也能從這些傳感器入手找到入侵自動駕駛汽車的其他方法。可見,自動駕駛汽車的安全性還遠遠沒有得到保障,其在大規模普及之前還有很長一段路要走。