難道目前業界就沒有一個很好的安全防范措施嗎?
或許是有的,比如目前L4 自動駕駛里用的最廣泛的用來提高系統魯棒性(健壯性)的多傳感器融合感知(Multi-Sensor Fusion based Perception)技術,即融合不同的感知源,比如激光雷達(LiDAR)和攝像頭(camera),從而實現準確并且魯棒的感知。
然而最近來自加州大學爾灣分校(UC Irvine)的一個專攻自動駕駛和智能交通的安全研究團隊,在實驗研究了「工業級 L4 自動駕駛系統里的感知模塊的安全」之后,發現,多傳感器融合感知技術存在一個安全漏洞,使得攻擊者可以3D 打印出一個惡意的 3D 障礙物。
只需把 3D 障礙物放在道路中間,就能讓自動駕駛車輛的 Camera 和 LiDAR 機器學習檢測模型都識別不到,從而從根本上繞過多傳感器融合感知模塊讓其識別不到這個障礙物并且撞上去,造成嚴重交通危害。
這項研究工作在今年已經正式發表在IEEE S&P 2021(計算機安全四大頂會之一)。
研究工作概覽和亮點
在自動駕駛系統里,實時「感知」周圍物體,是所有重要駕駛決策的最基本前提。感知模塊負責實時檢測路上的障礙物,比如:周圍車輛,行人,交通錐 (雪糕筒)等等,從而避免發生一些交通事故。
因為感知模塊對無人車安全的重要性,商業高級別(L4)無人車系統普遍采用多傳感器融合的設計,即融合不同的感知源,比如激光雷達(LiDAR)和攝像頭(camera),從而實現準確并且魯棒的感知。
在這樣的設計中,根據「并非所有感知源都同時被攻擊(或可以被攻擊)」這一假設,總是存在一種可能的多傳感器融合算法,可以依靠未被攻擊的源來檢測或防止單感知源攻擊。這個基本的安全設計假設在一般情況下是成立的,因此多傳感器融合通常被認為是針對現有無人車感知攻擊(單感知源攻擊)的有效防御策略。
然而研究者發現,在識別現實世界中,這種多傳感器融合的障礙物感知存在漏洞。通過這個漏洞,研究者可以同時攻擊不同的感知源,或者攻擊單個感知源(只有 LiDAR 或者 camera 的檢測),使得無人車無法成功檢測前面的障礙物并直接撞上去。
在這項工作中,研究者首次對當今無人車系統中基于多傳感器融合的感知進行了安全分析。研究者直接挑戰了上述基本的安全設計假設,證明了「同時攻擊自動駕駛多傳感器融合感知中所有感知源」的可能性。
這使研究者第一次具體了解到使用多傳感器融合作為無人車感知的一般防御策略能提供多少安全保障!
具體來說,研究者發現惡意 3D 障礙物可以被用作針對基于多傳感器融合的無人車感知的攻擊載體,同時具有隱蔽和物理上可實現的特點。研究者的關鍵發現是,3D 障礙物的不同形狀可以同時導致 LiDAR 點云中的點位置變化和 camera 圖像中的像素值變化。
因此,攻擊者可以利用形狀操作,同時向 camera 和 LiDAR 引入輸入擾動。
這樣的攻擊載體還有另外兩個優點:
它很容易在物理世界中實現和部署。例如,攻擊者可以利用 3D 建模構建這類障礙物,并進行 3D 打印。目前市面上有很多在線 3D 打印服務,攻擊者甚至不需要擁有 3D 打印設備。
它可以通過模仿能合法出現在道路上的正常交通障礙物,如交通錐或障礙物(如石頭),并偽裝為比較常見的磨損或破損的外觀,實現高度隱蔽性。
為了使其既容易部署又能造成嚴重的碰撞,攻擊者可以選擇較小的障礙物,如巖石或交通錐,但用花崗巖甚至金屬填充,使其更硬更重。例如,一塊 0.5 立方米的石頭或一個 1 米高的交通錐,里面填充一些鋁,很容易超過 100 公斤,如果汽車在高速行駛時撞到,有底盤損壞、撞碎擋風玻璃甚至失去控制的風險。
另外,攻擊者還可以利用某些道路障礙物的功能(如交通錐作為標識的功能)。例如,攻擊者可以設計一種僅針對無人車的攻擊,將釘子或玻璃碎片放在生成的惡意交通錐障礙物后面,這樣,人類駕駛員能夠正常識別交通錐并繞行,而無人車則會忽視交通錐然后爆胎。在這里,安全損害并不是需要由碰撞交通錐體本身造成的,因此在這種情況下,惡意的交通錐體可以像普通交通錐體一樣小而輕,以使其更容易 3D 打印、攜帶和部署。
MSF-ADV 攻擊
為了評估這一漏洞的嚴重性,研究者設計了MSF-ADV 攻擊,它可以在給定的基于多傳感器融合的無人車感知算法中自動生成上述的惡意的 3D 障礙,研究者提出創新性的設計提升攻擊的有效性、魯棒性、隱蔽性和現實生活中的可實現性。
研究者選擇了 3 種障礙物類型(交通錐、玩具車和長椅)進行測試,并在真實世界的駕駛數據上進行評估。研究者的結果顯示,在不同的障礙物類型和多傳感器融合算法中,研究者的攻擊實現了>=91% 的成功率。
研究者還發現,研究者的攻擊是:
基于用戶研究,從駕駛者的角度看是隱蔽的;
對不同的被攻擊車的位置和角度具有魯棒性,平均成功率 > 95%;
制作出來的惡意的 3D 障礙物可以有效轉移并用于攻擊其他 MSF 算法,平均轉移攻擊成功率約 75%。
基于優化的惡意的 3D 物體生成概述
如下圖所示,給到一個初始化的良性的 3D 障礙物(如交通錐),首先要對其做一些魯棒的變換,然后和目標道路的照片和點云一起輸入到渲染模塊。在這個模塊里,可以利用可導的渲染技術,將 3D 障礙物渲染到照片和點云里。
該模塊的目的是為了實現模擬現實環境中擺放 3D 障礙物,并獲取傳感器數據。然后這些數據會輸入到特征提取模塊來提取相應的特征,再把這些特征輸入到相對應的神經網絡。
根據神經網絡的輸出設計目標函數,即降低 3D 障礙物在網絡中的置信度,從而達到讓物體消失的目的。同時本文還有一些隱蔽性和物理可實現性的設計,最終我們可以根據梯度來更新這個 3D 障礙物從而生成惡意的 3D 障礙物。
實驗評估與攻擊演示
在一個微縮模型的實驗環境中,研究者發現研究者的惡意的障礙物在不同的隨機抽樣位置有 85-90% 的成功率逃避多傳感器融合感知的檢測,而且這種有效性可以轉移。
為了了解端到端的安全影響,研究者使用產品級的無人車模擬器 LGSVL 進一步評估 MSF-ADV。
在 100 次運行中,研究者的惡意的交通錐對 Apollo 的無人車造成100% 的車輛碰撞率,相比之下,正常交通錐體的碰撞率為 0%。
多傳感器融合不是自動駕駛安全的萬全之策
本文研究的一個比較大的貢獻是讓大家意識到多傳感器融合感知同樣存在安全問題。很多前人工作事實上把多傳感器融合當做對于單個傳感器攻擊的有效防御手段,但是之前卻并沒有文章去系統性的探究這一點。
研究者的工作填補了這一個關鍵的知識空白,證明其實并不完全是這么一回事。研究者生成的 3D 惡意的障礙物可以讓多傳感器融合感知系統失效,從而導致無人車撞到這種物體上并造成交通事故。
研究者認為比較切實可行的防御手段是去融合更多的感知源,比如說更多的不同位置的 camera 和 LiDAR,或者考慮加入 RADAR。但是這不能從根本上防御 MSF-ADV,只能是說讓 MSF-ADV 生成過程更加困難。
研究者已經就這個漏洞聯系了 31 家自動駕駛公司,同時建議它們應用這些緩解手段。研究者覺得不論是研究者還是自動駕駛公司都需要投多更多精力去系統性地探究自動駕駛里的的安全問題。
