黑客攻击自动驾驶汽车的新方法：恶意扰乱视觉系统

汽车厂商非常重视保护车载系统免遭黑客攻击，但自动驾驶汽车仍存在其他被恶意扰乱的可能方式。华盛顿大学安全研究人员已经证明，他们只需在道路标志牌上粘贴普通打印机打印的图像贴纸，就能让计算机视觉系统在辨别道路标志牌时出现错误。当然，这些图像并不普通，就是研究人员精心设计的攻击方法，其能迷惑自动驾驶汽车最为依赖的摄像头。

图1（图片来源：华盛顿大学）

在图1示例的试验中，研究人员将长方形的黑色和白色小贴纸粘贴在标准的停车标志牌上，导致计算机的视觉系统误认为是“限速45”标志。这种攻击在多个不同距离（最远40英尺）和多种角度下都能成功。

图2（图片来源：华盛顿大学）

在图2示例的实验中，研究人员利用一种伪装成涂鸦的攻击，同样让计算机的视觉系统将停车标志牌误认为“限速45”标志，成功率高达73.3%。

自动驾驶汽车的视觉系统通常都具有一个物体探测器(object detector) 和一个分类器(classifier)，前者能发现行人、灯光、标志牌和其他车辆等，后者能确定物体是什么以及标志牌上的内容。据华盛顿大学计算机安全研究人员Yoshi Kohno介绍，假设黑客能入侵分类器，就能根据其采用的算法，利用一张目标道路标志牌的照片来生成所需的特定图像。如上述两个试验中所使用的图像贴纸，就是根据“限速45”标志照片生成的特定图像。

这种攻击利用的是深度神经网络(deepneural networks)的漏洞，此前相关研发人员一直在使用自动驾驶汽车摄像头拍摄的图像来训练其辨认标志牌、信号灯和其他道路使用者。这类系统对恶意的微干扰（精确细微地更改输入内容）非常敏感，这会导致它们出现意外的错误行为，并可能造成危险。

研究人员很早就了解到，更改计算机看到的内容可能会导致错误的结果。但此前涉及的攻击内容不是过于极端（对人类驾驶者来说过于明显），就是太过精巧（只能在某个角度或特定距离才能产生效果）。

图3（图片来源：华盛顿大学）

在图3示例的实验中，研究人员印制了一张大小与“右转”标志相似的图像，并将其覆盖在了现有标志牌上。细微的差别就使该标志被错误地读取为“限速 45”。对于肉眼来说，该示例中的图像贴纸可能只是略带污迹或有些褪色，但计算机视觉系统却连续将其识别为“限速45”。

Kohno表示，“虽然警告标志看上去没什么变化，但小小的篡改已经足以迷惑分类器。未来我们计划在其他警告标志牌上采取有针对性的分类攻击，继续探究我们的猜想。”

这种攻击的危险性显而易见。很多测试使用的自动驾驶汽车和部分量产汽车，包括所有的特斯拉电动汽车，都已具备自动辨认道路标志牌的功能。如果未来的自动驾驶汽车蒙受欺骗，并对某一标志牌采取了错误的响应行为，就可能发生车辆直接冲过停车标志牌，或是在快车道上猛然刹车的情况。

自动驾驶初创公司Voyage高级研究专家Tarek El-Gaaly 表示，“这种攻击势必会引起自动驾驶汽车研发人员的担忧。虽然它对于自动驾驶汽车系统的影响尚未在实际中得到核实，但随着时间的推移和技术的不断发展，也许能更加简便地复制这种攻击，并根据恶意的目的进行调整。”

Kohno认为，即使不同制造厂商采用的分类器具有显著差异，黑客也依然能进行反向破解(reverse-engineer)。即使遇到无法入侵的型号，通过仔细研究车辆系统，攻击者也通常能够根据反馈内容找出一种类似的替代型号。各大汽车厂商都倾向于使用Mobileye等供应商开发的行业标准系统，包括对自动驾驶汽车技术进行开源的Comma.ai和百度。

那么，该如何应对这种攻击呢？El-Gaaly 表示，汽车厂商未来必须将多种防御措施相结合来阻止黑客。利用地图和感知的环境中的关联信息，可以解决很多此类攻击。例如，城市道路上出现“65英里/小时”标志牌或者公路上出现“停车”标志牌都不符合逻辑。此外，如今的许多自动驾驶汽车都配备有多个传感器，可以利用多个摄像头和激光雷达传感器来设置故障保险。