最近,一项研究表明,L4自动驾驶多传感器集成感知(Multi-Sensor Fusion based Perception)技术上有一个安全漏洞:攻击者可以在道路中间放置一个3D打印的恶意障碍物使自动驾驶车辆camera和LiDAR机器学习检测模型无法识别,直接撞上。
本研究题目为基于多传感器集成的自动驾驶感知安全(Invisible for both Camera and LiDAR: Security of Multi-Sensor Fusion based Perception in Autonomous Driving Under Physical-World Attacks),计算机安全四大峰会之一已正式发表IEEES&P2021。该团队来自加州大学尔湾分校(UCIrvine),专门研究自动驾驶和智能交通。
在自动驾驶系统中,实时感知周围环境是所有重要驾驶决策的最基本前提。L4自动驾驶系统逐渐商业化,百度在北京、长沙、沧州开始大规模测试无人驾驶出租车,Waymo完全自动驾驶出租车已经开始在美国凤凰城测试,不需要安全驾驶员。
国际自动机工程师学会自动驾驶L1到L5分为五个等级,L5是最先进的全自动化,L4等级是高度自动化的,机器接管所有操作,人们不需要回答所有的系统请求。有一个关于L4级自动驾驶戏说:看起来很像L5,但是用户手册写了一长串免责声明,核心思想是这不好,那也不好。
L4自动驾驶系统一般采用激光雷达等多传感器集成设计(LiDAR)和摄像头(camera)等待不同的感知源,从而实现鲁棒的准确感知。
多传感器融合算法有一项前提,所有感知源不会同时都被攻击,或可以同时被攻击。这个基本的安全设计假设一般都是成立的,因此多传感器融合通常被认为是针对现有无人车感知攻击(单感知源攻击)的有效防御策略。
来自加州大学的尔湾分校(UCIrvine)研究人员证明了攻击自动驾驶多传感器集成感知中所有感知源的可能性。他们发现,在现实世界识别过程中,多传感器集成的障碍物感知存在漏洞,无法成功检测研究人员设置的障碍物并直接撞击。
具体而言,3D障碍物的不同形状可能同时导致LiDAR点云中点位置的变化和camera图像中的像素值变化,因此攻击者可以利用形状操作,同时向camera和LiDAR介绍输入扰动。
生活中道路上可能出现的奇怪或损坏的物体可以模拟物理世界的攻击向量:可操纵形状的对抗3D物体
研究人员设计了这个漏洞的严重性MSF-ADV在给定的基于多传感器集成的无人车感知算法中,攻击可以自动产生上述恶意3D在现实生活中,研究人员的设计可以提高攻击的有效性、鲁棒性、隐蔽性和可实现性。
研究人员选择了三种障碍物类型(交通锥、玩具车和长椅)进行测试,并评估了现实世界的驾驶数据。结果表明,攻击实现了不同障碍物类型和多传感器集成算法>=91成功率%。
研究人员了解攻击在现实世界中的可实现性和严重性3D对生成的恶意障碍物进行打印,并在使用多传感器融合感知的真车进行评估。
研究人员发现,恶意障碍物可以在108个传感器帧中的107帧中发现(99.1%)成功避免了多传感器集成的检测。在微缩模型的实验环境中,研究人员发现恶意障碍物在不同的随机抽样位置存在85-90多传感器集成感知检测的成功率为%,这种有效性可以转移。
研究人员认为,更切实可行的防御手段是整合更多的感知源,如更多的不同位置camera和LiDAR,或者考虑加入RADAR。但这不能从根本上防御,只能使恶意攻击更加困难
截至2021年5月18日,研究人员对31家开发或测试无人车的公司进行了漏洞报告,其中19家(约61%)已回复并表示,目前正在调查其影响和影响程度。