激光雷達、攝像頭加持也沒轍，3D打印就能惡意攻擊L4自動駕駛汽車！

本文作者：我在思考中

2021-08-16 15:00

導(dǎo)語：最近來自加州大學(xué)爾灣分校的一個專攻自動駕駛和智能交通的安全研究團隊發(fā)現(xiàn)，多傳感器融合感知技術(shù)存在一個安全漏洞，使得攻擊者可以3D打印出一個惡意的3D障礙物。

AI科技評論報道

編輯 | 陳大鑫

這年頭自動駕駛還安全嗎？

想必大家懂得都懂

......

那難道目前業(yè)界就沒有一個很好的安全防范措施嗎？

或許是有的，比如目前 L4 自動駕駛里用的最廣泛的用來提高系統(tǒng)魯棒性的多傳感器融合感知（Multi-Sensor Fusion based Perception）技術(shù)，即融合不同的感知源，比如激光雷達（LiDAR）和攝像頭（camera），從而實現(xiàn)準確并且魯棒的感知。

然而最近來自加州大學(xué)爾灣分校（UC Irvine）的一個專攻自動駕駛和智能交通的安全研究團隊，在實驗研究了「工業(yè)級L4自動駕駛系統(tǒng)里的感知模塊的安全」之后，發(fā)現(xiàn)，多傳感器融合感知技術(shù)存在一個安全漏洞，使得攻擊者可以3D打印出一個惡意的3D障礙物。

圖注: 3D打印出來的惡意障礙物

只需把 3D 障礙物放在道路中間，就能讓自動駕駛車輛的 Camera 和LiDAR機器學(xué)習(xí)檢測模型都識別不到，從而從根本上繞過多傳感器融合感知模塊讓其識別不到這個障礙物并且撞上去，造成嚴重交通危害。

OMG！這實在是太危險??了！

這項研究工作在今年已經(jīng)正式發(fā)表在 IEEE S&P 2021（計算機安全四大頂會之一）。

論文鏈接：https://arxiv.org/abs/2106.09249

研究工作概覽和亮點

現(xiàn)如今 L4 自動駕駛系統(tǒng)正在被逐漸商業(yè)化。百度已經(jīng)在北京、長沙和滄州開始大規(guī)模測試無人駕駛出租車，百度獲得加州全無人駕駛測試許可，Waymo 甚至已經(jīng)開始在美國鳳凰城測試不需要安全駕駛員的完全自動駕駛出租車。

在自動駕駛系統(tǒng)里，「感知」實時周圍物體，是所有重要駕駛決策的最基本前提。感知模塊負責(zé)實時檢測路上的障礙物，比如：周圍車輛，行人，交通錐（雪糕筒）等等，從而避免發(fā)生一些交通事故。

因為感知模塊對無人車安全的重要性，商業(yè)高級別（L4）無人車系統(tǒng)普遍采用多傳感器融合的設(shè)計，即融合不同的感知源，比如 激光雷達（LiDAR）和攝像頭（camera），從而實現(xiàn)準確并且魯棒的感知。

在這樣的設(shè)計中，根據(jù)「并非所有感知源都同時被攻擊（或可以被攻擊）」這一假設(shè)，總是存在一種可能的多傳感器融合算法，可以依靠未被攻擊的源來檢測或防止單感知源攻擊。這個基本的安全設(shè)計假設(shè)在一般情況下是成立的，因此多傳感器融合通常被認為是針對現(xiàn)有無人車感知攻擊（單感知源攻擊）的有效防御策略。

然而研究者發(fā)現(xiàn)，在識別現(xiàn)實世界中，這種多傳感器融合的障礙物感知存在漏洞。通過這個漏洞，研究者可以同時攻擊不同的感知源，或者攻擊單個感知源（只有LiDAR或者camera的檢測），使得無人車無法成功檢測前面的障礙物并直接撞上去。

在這項工作中，研究者首次對當(dāng)今無人車系統(tǒng)中基于多傳感器融合的感知進行了安全分析。研究者直接挑戰(zhàn)了上述基本的安全設(shè)計假設(shè)，證明了「同時攻擊自動駕駛多傳感器融合感知中所有感知源」的可能性。

這使研究者第一次具體了解到使用多傳感器融合作為無人車感知的一般防御策略能提供多少安全保障！

具體來說，研究者發(fā)現(xiàn)惡意3D障礙物可以被用作針對基于多傳感器融合的無人車感知的攻擊載體，同時具有隱蔽和物理上可實現(xiàn)的特點。研究者的關(guān)鍵發(fā)現(xiàn)是，3D障礙物的不同形狀可以同時導(dǎo)致 LiDAR 點云中的點位置變化和camera圖像中的像素值變化。

因此，攻擊者可以利用形狀操作，同時向 camera 和 LiDAR 引入輸入擾動。

這樣的攻擊載體還有另外兩個優(yōu)點：

(1) 它很容易在物理世界中實現(xiàn)和部署。例如，攻擊者可以利用3D建模構(gòu)建這類障礙物，并進行3D打印。目前市面上有很多在線3D打印服務(wù)，攻擊者甚至不需要擁有3D打印設(shè)備。

(2) 它可以通過模仿能合法出現(xiàn)在道路上的正常交通障礙物，如交通錐或障礙物（如石頭），并偽裝為比較常見的磨損或破損的外觀，實現(xiàn)高度隱蔽性（如圖1）。

圖1：生活中比較常見的磨損或形狀破損的交通物體和看起來比較奇怪的石頭

為了使其既容易部署又能造成嚴重的碰撞，攻擊者可以選擇較小的障礙物，如巖石或交通錐，但用花崗巖甚至金屬填充，使其更硬更重。例如，一塊0.5立方米的石頭或一個1米高的交通錐，里面填充一些鋁，很容易超過100公斤，如果汽車在高速行駛時撞到，有底盤損壞、撞碎擋風(fēng)玻璃甚至失去控制的風(fēng)險。

另外，攻擊者還可以利用某些道路障礙物的功能（如交通錐作為標識的功能）。例如，攻擊者可以設(shè)計一種僅針對無人車的攻擊，將釘子或玻璃碎片放在生成的惡意交通錐障礙物后面，這樣，人類駕駛員能夠正常識別交通錐并繞行，而無人車則會忽視交通錐然后爆胎。在這里，安全損害并不是需要由碰撞交通錐體本身造成的，因此在這種情況下，惡意的交通錐體可以像普通交通錐體一樣小而輕，以使其更容易3D打印、攜帶和部署。

2

MSF-ADV 攻擊

為了評估這一漏洞的嚴重性，研究者設(shè)計了 MSF-ADV 攻擊，它可以在給定的基于多傳感器融合的無人車感知算法中自動生成上述的惡意的3D障礙，研究者提出創(chuàng)新性的設(shè)計提升攻擊的有效性、魯棒性、隱蔽性和現(xiàn)實生活中的可實現(xiàn)性（如圖2）。

研究者選擇了3種障礙物類型（交通錐、玩具車和長椅）進行測試，并在真實世界的駕駛數(shù)據(jù)上進行評估。研究者的結(jié)果顯示，在不同的障礙物類型和多傳感器融合算法中，研究者的攻擊實現(xiàn)了 >=91%的成功率。

研究者還發(fā)現(xiàn)，研究者的攻擊是：

（1）基于用戶研究，從駕駛者的角度看是隱蔽的；

（2）對不同的被攻擊車的位置和角度具有魯棒性，平均成功率>95%；

（3）制作出來的惡意的3D障礙物可以有效轉(zhuǎn)移并用于攻擊其他MSF算法，平均轉(zhuǎn)移攻擊成功率約75%。

基于優(yōu)化的惡意的3D物體生成概述

如下圖所示，給到一個初始化的良性的3D障礙物（如交通錐），首先要對其做一些魯棒的變換，然后和目標道路的照片和點云一起輸入到渲染模塊。在這個模塊里，可以利用可導(dǎo)的渲染技術(shù)，將3D障礙物渲染到照片和點云里。

該模塊的目的是為了實現(xiàn)模擬現(xiàn)實環(huán)境中擺放3D障礙物，并獲取傳感器數(shù)據(jù)。然后這些數(shù)據(jù)會輸入到特征提取模塊來提取相應(yīng)的特征，再把這些特征輸入到相對應(yīng)的神經(jīng)網(wǎng)絡(luò)。

根據(jù)神經(jīng)網(wǎng)絡(luò)的輸出設(shè)計目標函數(shù)，即降低3D障礙物在網(wǎng)絡(luò)中的置信度，從而達到讓物體消失的目的。同時本文還有一些隱蔽性和物理可實現(xiàn)性的設(shè)計，最終我們可以根據(jù)梯度來更新這個3D障礙物從而生成惡意的3D障礙物。

圖2：基于優(yōu)化的惡意的3D物體生成概述

實驗評估與攻擊演示

為了了解攻擊在物理世界中的可實現(xiàn)性和嚴重性，研究者3D打印了生成的惡意障礙物（下圖3所示），并在使用了多傳感器融合感知得真車上進行評估。

圖3: 3D打印出來的惡意障礙物

下圖4 是研究者使用的裝配了LiDAR和 camera 的測試車輛。研究者發(fā)現(xiàn)惡意的障礙物可以在總共108個傳感器幀中的107幀中（99.1%）成功躲過多傳感器融合的檢測。

圖4: 安裝LiDAR和camera的真車設(shè)置和檢測結(jié)果

攻擊演示視頻：

在一個微縮模型的實驗環(huán)境中（下圖5所示），研究者發(fā)現(xiàn)研究者的惡意的障礙物在不同的隨機抽樣位置有85-90%的成功率逃避多傳感器融合感知的檢測，而且這種有效性可以轉(zhuǎn)移。

圖5: 微縮模型的實驗環(huán)境和檢測結(jié)果

攻擊演示視頻：

為了了解端到端的安全影響，研究者使用產(chǎn)品級的無人車模擬器LGSVL進一步評估MSF-ADV（圖6）。

在100次運行中，研究者的惡意的交通錐對Apollo的無人車造成100%的車輛碰撞率，相比之下，正常交通錐體的碰撞率為0%。

圖6: Apollo 和 LGSVL 在端到端攻擊評估的截圖

攻擊演示視頻：

3

多傳感器融合不是自動駕駛安全的萬全之策

本文研究的一個比較大的貢獻是讓大家意識到多傳感器融合感知同樣存在安全問題。很多前人工作事實上把多傳感器融合當(dāng)做對于單個傳感器攻擊的有效防御手段，但是之前卻并沒有文章去系統(tǒng)性的探究這一點。

研究者的工作填補了這一個關(guān)鍵的知識空白，證明其實并不完全是這么一回事。研究者生成的3D惡意的障礙物可以讓多傳感器融合感知系統(tǒng)失效，從而導(dǎo)致無人車撞到這種物體上并造成交通事故。

研究者認為比較切實可行的防御手段是去融合更多的感知源，比如說更多的不同位置的camera和LiDAR，或者考慮加入RADAR。但是這不能從根本上防御MSF-ADV，只能是說讓MSF-ADV生成過程更加困難。

研究者已經(jīng)就這個漏洞聯(lián)系了31家自動駕駛公司，同時建議它們應(yīng)用這些緩解手段。研究者覺得不論是研究者還是自動駕駛公司都需要投多更多精力去系統(tǒng)性地探究自動駕駛里的的安全問題。

4

常見問題與解答

AI科技評論：為了實現(xiàn)同樣的攻擊目標，為什么攻擊者不能直接向無人車扔石頭或者直接在無人車前面放釘子或玻璃碎片？

研究者是計算機安全研究人員，所以研究者的目標是研究特定于計算機技術(shù)（在研究者的例子中指的是自動駕駛）的安全漏洞。研究者的最終目標是在計算機技術(shù)層面修復(fù)它們。

扔石頭、放釘子或玻璃碎片并不是針對于無人駕駛這種特定技術(shù)的攻擊，非無人駕駛車輛也會受到損害，同時這樣的研究也無助于暴露出無人駕駛技術(shù)中的安全隱患相比之下，研究者的惡意的障礙物可以被人眼正確識別出來，但無人車系統(tǒng)卻無法正確識別，這個才是研究者需要研究的技術(shù)問題。

通過發(fā)現(xiàn)和解決此類問題，無人車技術(shù)可以更好地接近人類駕駛的水平和性能，從而實現(xiàn)無人車技術(shù)的最終目標：代替人類駕駛。

AI科技評論：一般車上都有的緊急剎車系統(tǒng)可以防御這種攻擊嗎？

緊急剎車系統(tǒng)可以減輕它的的風(fēng)險，但既不能完全防止此類攻擊，也不能消除防御攻擊的需要。首先，無人車系統(tǒng)必須設(shè)計為能夠自行處理盡可能多的安全隱患，而不是完全依賴緊急剎車系統(tǒng)。緊急剎車系統(tǒng)僅設(shè)計為緊急情況或者備用安全保護措施；它永遠也不應(yīng)該用來代替無人車警覺性。就像司機駕駛一樣，沒有人完全依賴緊急剎車系統(tǒng)來確保安全；

研究者必須始終保持謹慎并盡可能的主動做出安全決策，然后僅依靠緊急剎車系統(tǒng)作為在極端情況下盡力而為的后備保護。因此，研究者必須要想辦法在無人車系統(tǒng)級別上解決這種漏洞。

其次，現(xiàn)如今的無人剎車系統(tǒng)本身際上遠非完美，并且可能具有很高的漏報率。例如，AAA 報告稱，很多車（例如雪佛蘭邁銳寶、本田雅閣、特斯拉 Model 3 和豐田凱美瑞）的緊急剎車系統(tǒng)故障率為 60%。此外，即使無人車的緊急剎車系統(tǒng)能夠成功緊急停車，但是也無法避免無人車被后面的車追尾。

AI科技評論：研究者有對無人車公司進行漏洞報告嗎？他們是怎么答復(fù)的？

截至 2021 年 5 月 18 日，研究者對 31 家開發(fā)或者測試無人車的公司進行了漏洞報告，其中 19 家（約 61%）已經(jīng)回復(fù)了研究者。

根據(jù)答復(fù)，大多數(shù)公司目前都在調(diào)查它們是否會受到影響以及受到的影響程度。有些公司已經(jīng)與研究者開會討論他們的調(diào)查。

5

研究者介紹

本次研究作者團隊，來自加州大學(xué)爾灣分校、密西根大學(xué)安娜堡分校，亞利桑那州立大學(xué)，伊利諾伊大學(xué)厄巴納-香檳分校，英偉達 Research，中國百度深度學(xué)習(xí)技術(shù)與應(yīng)用研究和國家工程實驗室，嬴徹科技，一共有9名研究人員。

四位同等貢獻第一作者來自加州大學(xué)爾灣分校，密西根大學(xué)安娜堡分校，亞利桑那州立大學(xué)和英偉達Research，分別是 Ningfei Wang, Yulong Cao, Chaowei Xiao 和 Dawei Yang。三位教授分別是 Qi Alfred Chen, Mingyan Liu, Bo Li。以及兩位來自于百度和嬴徹科技的研究人員，分別是 Jin Fang 和 Ruigang Yang。

激光雷達、攝像頭加持也沒轍，3D打印就能惡意攻擊L4自動駕駛汽車！

2MSF-ADV 攻擊

3多傳感器融合不是自動駕駛安全的萬全之策

4常見問題與解答

5研究者介紹

相關(guān)材料

激光雷達、攝像頭加持也沒轍，3D打印就能惡意攻擊L4自動駕駛汽車！

2

MSF-ADV 攻擊

3

多傳感器融合不是自動駕駛安全的萬全之策

4

常見問題與解答

5

研究者介紹