L4级自动驾驶漏洞:感知算法可能无法避开人为的3D恶意障碍物攻击者可以在道路中间放置一个3D打印的恶意障碍物,从而无论是摄像头还是自身的LiDAR机器学习检测模型-驾驶车辆可以识别它,并直接撞上它。研究题目为《对摄像头和激光雷达都不可见:物理世界攻击下的基于多传感器融合的自动驾驶感知安全》(InvisibleforbothCameraandLiDAR:SecurityofMulti-SensorFusionbasedPerceptioninAutonomousDrivingUnderPhysical-WorldAttacks),已在计算机安全四大会议之一的IEEEES&P2021上正式发表.研究团队来自加州大学欧文分校(UCIrvine),专门从事自动驾驶和智能交通的研究。在自动驾驶系统中,对周围环境的实时感知是所有重要驾驶决策的最基本前提。目前,L4级自动驾驶系统正在逐步商业化。百度已在北京、长沙、沧州开始大规模测试无人驾驶出租车。Waymo已经开始在美国凤凰城测试不需要安全驾驶员的全自动出租车。国际自动机械工程师协会将自动驾驶分为L1到L5五个等级。L5是全自动化的最高级别,L4级别是高度自动化。机器接管所有操作,人类不需要响应所有系统请求。.关于L4级自动驾驶有一个笑话:它看起来很像L5,但是用户手册写了一长串免责声明。核心思想是这个和那个都行不通。L4级自动驾驶系统一般采用多传感器融合设计,即融合激光雷达、摄像头等不同感知源,实现??精准、鲁棒的感知。多传感器融合算法有一个前提,即所有传感源不会同时受到攻击,或者说可以同时受到攻击。这种基本的安全设计假设普遍有效,因此多传感器融合被普遍认为是针对现有无人车感知攻击(单感知源攻击)的有效防御策略。加州大学欧文分校(UCIrvine)的研究人员展示了在自动驾驶的多传感器融合感知中同时攻击所有感知源的可能性。他们发现,在现实世界的识别过程中,多传感器融合的障碍物感知存在漏洞,将无法成功检测到研究人员设置的障碍物并直接击中。具体来说,不同形状的3D障碍物会同时引起LiDAR点云中的点位置变化和相机图像中的像素值变化,因此攻击者可以利用形状操作同时对相机和LiDAR引入输入扰动。研究人员的物理世界可以模拟日常生活中道路上可能出现的奇形怪状或破损物体攻击向量:ManipulableShapedAgainst3DObjects为了评估该漏洞的严重程度,研究人员设计了MSF-ADV攻击,可以在给定的基于多传感器融合的无人车感知算法中自动生成上述恶意3D障碍物。研究人员的设计可以提高攻击的有效性、鲁棒性、隐蔽性和现实生活中的可行性。.研究人员选择了3种障碍物类型(交通锥、玩具车和长椅)进行测试,并根据真实世界的驾驶数据对其进行评估。他们的结果表明,攻击在不同的障碍物类型和多传感器融合算法中实现了>=91%的成功率。为了了解现实世界中攻击的可实现性和严重性,研究人员将生成的恶意障碍物3D打印出来,并在真车上使用多传感器融合感知对其进行评估。3D打印的恶意障碍物研究人员发现,在总共108个传感器帧中,有107个(99.1%)恶意障碍物可以成功逃避多传感器融合的检测。在微型模型的实验环境中,研究人员发现恶意障碍物在不同随机采样位置通过多传感器融合感知逃避检测的成功率为85-90%,并且这种有效性是可迁移的。研究人员认为,更可行的防御方式是整合更多的感知源,比如更多的摄像头和不同位置的激光雷达,或者考虑加入雷达。但这并不能从根本上防御,只能让恶意攻击变得更加困难。回应称目前正在调查其影响以及受影响的程度。
