自动驾驶也好,www.rzzx.com.cn辅助驾驶也罢,如今更应该关注它们的不足,不是吗?
其实,有一支科研团队一直在关注车辆辅助驾驶系统中的缺陷,方法就是“折磨”自动驾驶系统,让他们露出破绽,然后再给开发商反馈,一同琢磨应对之策。
这支自动驾驶“练兵场”的“蓝军”,来自加州大学尔湾分校,二龙湖浩哥之龙在江湖专攻自动驾驶和智能交通安全。
前不久,他们发现了激光雷达 + 视觉融合方案致命漏洞。
近日,团队的最新成果又发表在了计算机安全四大顶会之一 USENIX Security 2021。
这次,他们盯上的不是最先进,却是应用规模最大的 L2 级车道保持功能。
这么说吧,代表自动驾驶阵营出战的 OpenPilot,100% 失败。
而且它可以被应用到 15 个品牌 65 种车型,包括中国销量巨大的丰田凯美瑞、卡罗拉、本田思域、大众高尔夫等等。
原因,竟是道路上的一滩污渍。
车道保持 100% 失效,巧孵五彩蛋人根本来不及反应先看结果。
左边是正常情况,右边是作者将攻击数据(即受攻击时的到路线检测结果)直接注入到部署了 OpenPilot 辅助驾驶系统的真车上的情况,同一台车(丰田凯美瑞 2019 款)。
与常见的在道路上放置特殊障碍物不同,这次的攻击手段,是在路面上铺一层“地毯”,模拟污渍。
伪装性极高,人类老司机都难以分辨。
具体到实验数据上,在团队搭建的微缩场景中,攻击成功率高达 95%。
而在研发流程常用的自动驾驶模拟器 LGSVL 上,驴子跨栏赛跑这个成功率高达 100%。
当然,团队研究的一个原则始终是有现实指导意义,所以他们将攻击数据(即受攻击时的到路线检测结果)直接注入到部署了 OpenPilot 的真车(2019 年款丰田凯美瑞)上,就是上面的动图展示。
实验结果就更令人担忧了,10 次攻击,全部得手。
在所有的测试中,车道保持功能本应以车道线为基准保持直线匀速前行。但测试车辆受攻击情况下,系统似乎是在紧急躲避障碍一般突然打方向,撞上了纸盒。
从系统接收到伪装的污渍反馈,www.sw2000.com.cn到做出错误决策,时间不足 1 秒。
而人类司机在使用辅助驾驶时的平均接管反应时间为 2.5 秒。
所以,你还没来得及接管,车子就失控了。
车厂意识不到问题吗?
其实如今大部分具备 L2 辅助驾驶的车辆都带有紧急刹车和碰撞预警等主动安全功能,但在本次测试中,2019 款丰田凯美瑞的车道偏离预警一次都没触发,碰撞预警(FCW)只触发了 5 次。
FCW 只有预警作用,不能防止碰撞,且平均触发时间是在碰撞发生前 0.46 秒,相比于人类驾驶员的 2.5 秒平均反应接管时间,于事无补。
看来车厂、供应商要补的课还很多。无论是算法本身,还是不同辅助驾驶功能的融合协作,都不是把现成方案无脑堆上去就行得通的。
伪造路面污渍,可怕在哪?可能造成的后果我们已经看到了,就是车辆突然失控,撞上周围物体或直接冲下车道,而且司机根本没有反应时间。
这项研究的意义,除了揭示辅助驾驶系统本身的缺陷,更在于警示用户和相关管理部门。
路上铺一块“污渍”,成本简直不要太低。
犯罪分子伪装成修路工人就能轻松布置完毕,甚至不要伪装,开车经过时随手丢地上就行。
而即使没有恶意攻击,这个缺陷仍然是巨大隐患。
伪装的污渍能瘫痪辅助驾驶系统,那路面上真正的污渍行不行?
当然有这种可能。路上的污渍破损再普遍不过,如果恰好形成具有攻击效果的图案,一样会造成车辆失控。
尽管发生概率有限,但极端情况下,确实可能会要命。
怎么办?研究团队认为,不仅仅是 OpenPilot,这一攻击适用于任何基于深度神经网络的车道保持系统,并且目前没有最优解。
这次的研究结果一出,团队马上跟 13 家正在研发车道保持系统的公司通报,其中 10 家公司回复说他们已经开始着手调查该漏洞。
这几年确实有很多研究者提出多种不同的防御手段,例如对抗训练,随机改变输入大小和填充等。
但这些防御手段只能对这个问题提供一定程度的缓解。目前还没有一种基于模型的防御手段能够有效防御 DRP 攻击而不降低车道保持功能在正常驾驶场景中的性能。
其他可能的防御手段还包括类似 L4 自动驾驶系统所使用的多传感器融合。但目前激光雷达对于 L2 自动驾驶车辆的商用来说仍然太贵。
此外,车道线检测与地图数据的融合也是比较有希望的防御手段。但是,目前 L2 自动驾驶系统的定位无法实现像 L4 一样的 厘米级定位精度。
因此,一个后续研究问题是如何有效地检测 DRP 攻击而不造成太多误报。
对于基于传感器/数据融合的防御措施,主要问题是成本太高且难以扩展,比较难在短期内部署。
由于需要更多的研究来实现这样的防御措施,研究团队提出了短期缓解措施:至少应该把路面污渍和脏路补丁放到 ALC 系统现阶段不可处理的场景列表中。
而在检查了 11 家公司的 ALC 手册(例如特斯拉、通用 Cruise、OpenPilot、本田 Sensing 和丰田 LTA)之后发现,目前没有一家公司在他们不可处理的场景列表中列出路面污渍或脏路补丁。
团队认为,目前采取“明确在手册中提及”的方法至少可以有助于用户提前认识到风险,从而更主动观察去避免遭到 DRP 攻击。
传送门项目网站和攻击演示视频:https://sites.google.com/view/cav-sec/drp-attack
论文链接:https://www.usenix.org/conference/usenixsecurity21/presentation/sato
OpenPilot 项目详细: