L4自動駕駛漏洞:感知算法可能無法避開人造3D惡意障礙物
近日,一項研究顯示,L4自動駕駛使用的多傳感器融合感知(Multi-Sensor Fusion based Perception)技術存在一個安全漏洞:攻擊者可以在道路中間放置一個3D打印的惡意障礙物,使自動駕駛車輛的camera和LiDAR機器學習檢測模型都識別不到,並直接撞上去。
此項研究題為《對攝像頭和激光雷達都不可見:物理世界攻擊下的基於多傳感器融合的自動駕駛感知安全》(Invisible for both Camera and LiDAR: Security of Multi-Sensor Fusion based Perception in Autonomous Driving Under Physical-World Attacks),已正式發表在計算機安全四大頂會之一IEEES&P2021。該研究團隊來自加州大學爾灣分校(UCIrvine),專攻自動駕駛和智能交通的研究。
在自動駕駛系統裡,實時感知周圍環境是所有重要駕駛決策的最基本前提。當前,L4自動駕駛系統逐漸商業化,百度已經在北京、長沙和滄州開始大規模測試無人駕駛出租車,Waymo已經開始在美國鳳凰城測試不需要安全駕駛員的完全自動駕駛出租車。
國際自動機工程師學會將自動駕駛從L1到L5分成了五個等級,L5是最高級的全自動化,L4級則是高度自動化,由機器接管全部操作,人不需要對所有的系統請求做出回答。有個關於L4級自動駕駛的戲說:看起來很像L5,但用戶手冊寫了一長串免責聲明,核心思想是這也不行,那也不行。
L4自動駕駛系統普遍採用多傳感器融合設計,即融合如激光雷達(LiDAR)和攝像頭(camera)等不同的感知源,從而實現準確並且魯棒的感知。
多傳感器融合算法有一項前提,所有感知源不會同時都被攻擊,或可以同時被攻擊。這個基本的安全設計假設一般都是成立的,因此多傳感器融合通常被認為是針對現有無人車感知攻擊(單感知源攻擊)的有效防禦策略。
來自加州大學爾灣分校(UCIrvine)的研究者證明了同時攻擊自動駕駛多傳感器融合感知中所有感知源的可能性。他們發現,在現實世界識別過程中,這種多傳感器融合的障礙物感知存在漏洞,會無法成功檢測研究者設置的障礙物並直接撞上去的情況。
具體而言,3D障礙物的不同形狀可以同時導致LiDAR點雲中的點位置變化和camera圖像中的像素值變化,因此攻擊者可以利用形狀操作,同時向camera和LiDAR引入輸入擾動。
生活中路面可能出現的形狀奇怪或破損的物體,可以研究者的物理世界攻擊向量模擬:可操縱形狀的對抗3D物體
為了評估這一漏洞的嚴重性,研究者設計了MSF-ADV攻擊,它可以在給定的基於多傳感器融合的無人車感知算法中自動生成上述的惡意的3D障礙,研究者的這個設計可提升攻擊的有效性、魯棒性、隱蔽性和現實生活中的可實現性。
研究者選擇了3種障礙物類型(交通錐、玩具車和長椅)進行測試,並在真實世界的駕駛數據上進行評估。他們的結果顯示,在不同的障礙物類型和多傳感器融合算法中,攻擊實現了>=91%的成功率。
為了了解攻擊在真實世界中的可實現性和嚴重性,研究者3D打印了生成的惡意障礙物,並在使用了多傳感器融合感知得真車上進行評估。
3D打印出的惡意障礙物
研究者發現惡意的障礙物可以在總共108個傳感器幀中的107幀中(99.1%)成功躲過多傳感器融合的檢測。在一個微縮模型的實驗環境中,研究者發現惡意的障礙物在不同的隨機抽樣位置有85-90%的成功率躲避多傳感器融合感知的檢測,而且這種有效性可以轉移。
。
研究者認為比較切實可行的防御手段是去融合更多的感知源,比如說更多的不同位置的camera和LiDAR,或者考慮加入RADAR。但是這不能從根本上防禦,只能讓惡意攻擊更加困難
截至2021年5月18日,研究人員對31家開發或者測試無人車的公司進行了漏洞報告,其中19家(約61%)已經回复並表示目前正在調查其影響以及受到影響的程度。