這年頭自動駕駛還安全嗎？

想必大家懂得都懂......

那難道目前業界就沒有一個很好的安全防範措施嗎？

或許是有的，比如目前L4 自動駕駛裡用的最廣泛的用來提高系統魯棒性（健壯性）的多感測器融合感知（Multi-Sensor Fusion based Perception）技術，即融合不同的感知源，比如鐳射雷達（LiDAR）和攝像頭（camera），從而實現準確並且魯棒的感知。

然而最近來自加州大學爾灣分校（UC Irvine）的一個專攻自動駕駛和智慧交通的安全研究團隊，在實驗研究了「工業級 L4 自動駕駛系統裡的感知模組的安全」之後，發現，多感測器融合感知技術存在一個安全漏洞，使得攻擊者可以 3D 打印出一個惡意的 3D 障礙物

▲3D 打印出來的惡意障礙物

只需把 3D 障礙物放在道路中間，就能讓自動駕駛車輛的 Camera 和 LiDAR 機器學習檢測模型都識別不到，從而從根本上繞過多感測器融合感知模組讓其識別不到這個障礙物並且撞上去，造成嚴重交通危害。

這項研究工作在今年已經正式發表在IEEE S&P 2021（電腦保安四大頂會之一）。

論文連結：https://arxiv.org/abs/2106.09249

研究工作概覽和亮點

在自動駕駛系統裡，實時「感知」周圍物體，是所有重要駕駛決策的最基本前提。感知模組負責實時檢測路上的障礙物，比如：周圍車輛，行人，交通錐 （雪糕筒）等等，從而避免發生一些交通事故。

因為感知模組對無人車安全的重要性，商業高級別（L4）無人車系統普遍採用多感測器融合的設計，即融合不同的感知源，比如鐳射雷達（LiDAR）和攝像頭（camera）

在這樣的設計中，根據「並非所有感知源都同時被攻擊（或可以被攻擊）」這一假設，總是存在一種可能的多感測器融合演算法，可以依靠未被攻擊的源來檢測或防止單感知源攻擊。這個基本的安全設計假設在一般情況下是成立的，因此多感測器融合通常被認為是針對現有無人車感知攻擊（單感知源攻擊）的有效防禦策略。

然而研究者發現，在識別現實世界中，這種多感測器融合的障礙物感知存在漏洞。通過這個漏洞，研究者可以同時攻擊不同的感知源，或者攻擊單個感知源（只有 LiDAR 或者 camera 的檢測），使得無人車無法成功檢測前面的障礙物並直接撞上去。

在這項工作中，研究者首次對當今無人車系統中基於多感測器融合的感知進行了安全分析。研究者直接挑戰了上述基本的安全設計假設，證明了「同時攻擊自動駕駛多感測器融合感知中所有感知源」的可能性。

這使研究者第一次具體瞭解到使用多感測器融合作為無人車感知的一般防禦策略能提供多少安全保障！

具體來說，研究者發現惡意 3D 障礙物可以被用作針對基於多感測器融合的無人車感知的攻擊載體，同時具有隱蔽和物理上可實現的特點。研究者的關鍵發現是，3D 障礙物的不同形狀可以同時導致 LiDAR 點雲中的點位置變化和 camera 影象中的畫素值變化。

因此，攻擊者可以利用形狀操作，同時向 camera 和 LiDAR 引入輸入擾動。

這樣的攻擊載體還有另外兩個優點：

• 它很容易在物理世界中實現和部署。例如，攻擊者可以利用 3D 建模構建這類障礙物，並進行 3D 列印。目前市面上有很多線上 3D 列印服務，攻擊者甚至不需要擁有 3D 列印裝置。

• 它可以通過模仿能合法出現在道路上的正常交通障礙物，如交通錐或障礙物（如石頭），並偽裝為比較常見的磨損或破損的外觀，實現高度隱蔽性。

▲生活中比較常見的磨損或形狀破損的交通物體和看起來比較奇怪的石頭

為了使其既容易部署又能造成嚴重的碰撞，攻擊者可以選擇較小的障礙物，如岩石或交通錐，但用花崗岩甚至金屬填充，使其更硬更重。例如，一塊 0.5 立方米的石頭或一個 1 米高的交通錐，裡面填充一些鋁，很容易超過 100 公斤，如果汽車在高速行駛時撞到，有底盤損壞、撞碎擋風玻璃甚至失去控制的風險。

另外，攻擊者還可以利用某些道路障礙物的功能（如交通錐作為標識的功能）。例如，攻擊者可以設計一種僅針對無人車的攻擊，將釘子或玻璃碎片放在生成的惡意交通錐障礙物後面，這樣，人類駕駛員能夠正常識別交通錐並繞行，而無人車則會忽視交通錐然後爆胎。在這裡，安全損害並不是需要由碰撞交通錐體本身造成的，因此在這種情況下，惡意的交通錐體可以像普通交通錐體一樣小而輕，以使其更容易 3D 列印、攜帶和部署。

MSF-ADV 攻擊

為了評估這一漏洞的嚴重性，研究者設計了MSF-ADV 攻擊，它可以在給定的基於多感測器融合的無人車感知演算法中自動生成上述的惡意的 3D 障礙，研究者提出創新性的設計提升攻擊的有效性、魯棒性、隱蔽性和現實生活中的可實現性。

研究者選擇了 3 種障礙物型別（交通錐、玩具車和長椅）進行測試，並在真實世界的駕駛資料上進行評估。研究者的結果顯示，在不同的障礙物型別和多感測器融合演算法中，研究者的攻擊實現了>=91% 的成功率。

研究者還發現，研究者的攻擊是：

• 基於使用者研究，從駕駛者的角度看是隱蔽的；

• 對不同的被攻擊車的位置和角度具有魯棒性，平均成功率 > 95%；

• 製作出來的惡意的 3D 障礙物可以有效轉移並用於攻擊其他 MSF 演算法，平均轉移攻擊成功率約 75%。

基於優化的惡意的 3D 物體生成概述

如下圖所示，給到一個初始化的良性的 3D 障礙物（如交通錐），首先要對其做一些魯棒的變換，然後和目標道路的照片和點雲一起輸入到渲染模組。在這個模組裡，可以利用可導的渲染技術，將 3D 障礙物渲染到照片和點雲裡。

該模組的目的是為了實現模擬現實環境中擺放 3D 障礙物，並獲取感測器資料。然後這些資料會輸入到特徵提取模組來提取相應的特徵，再把這些特徵輸入到相對應的神經網路。

根據神經網路的輸出設計目標函式，即降低 3D 障礙物在網路中的置信度，從而達到讓物體消失的目的。同時本文還有一些隱蔽性和物理可實現性的設計，最終我們可以根據梯度來更新這個 3D 障礙物從而生成惡意的 3D 障礙物。

▲基於優化的惡意的 3D 物體生成概述

實驗評估與攻擊演示

為了瞭解攻擊在物理世界中的可實現性和嚴重性，研究者 3D 列印了生成的惡意障礙物（下圖 3 所示），並在使用了多感測器融合感知得真車上進行評估。

▲3D 打印出來的惡意障礙物

下圖 4 是研究者使用的裝配了 LiDAR 和 camera 的測試車輛。研究者發現惡意的障礙物可以在總共 108 個感測器幀中的 107 幀中（99.1%）成功躲過多感測器融合的檢測。

▲安裝 LiDAR 和 camera 的真車設定和檢測結果

在一個微縮模型的實驗環境中（下圖 5 所示），研究者發現研究者的惡意的障礙物在不同的隨機抽樣位置有 85-90% 的成功率逃避多感測器融合感知的檢測，而且這種有效性可以轉移。

▲微縮模型的實驗環境和檢測結果

為了瞭解端到端的安全影響，研究者使用產品級的無人車模擬器 LGSVL 進一步評估 MSF-ADV（圖 6）。

在 100 次執行中，研究者的惡意的交通錐對 Apollo 的無人車造成 100% 的車輛碰撞率，相比之下，正常交通錐體的碰撞率為 0%。

▲Apollo 和 LGSVL 在端到端攻擊評估的截圖

多感測器融合不是自動駕駛安全的萬全之策

本文研究的一個比較大的貢獻是讓大家意識到多感測器融合感知同樣存在安全問題。很多前人工作事實上把多感測器融合當做對於單個感測器攻擊的有效防禦手段，但是之前卻並沒有文章去系統性的探究這一點。

研究者的工作填補了這一個關鍵的知識空白，證明其實並不完全是這麼一回事。研究者生成的 3D 惡意的障礙物可以讓多感測器融合感知系統失效，從而導致無人車撞到這種物體上並造成交通事故。

研究者認為比較切實可行的防禦手段是去融合更多的感知源，比如說更多的不同位置的 camera 和 LiDAR，或者考慮加入 RADAR。但是這不能從根本上防禦 MSF-ADV，只能是說讓 MSF-ADV 生成過程更加困難。

研究者已經就這個漏洞聯絡了 31 家自動駕駛公司，同時建議它們應用這些緩解手段。研究者覺得不論是研究者還是自動駕駛公司都需要投多更多精力去系統性地探究自動駕駛裡的的安全問題。