自動駕駛也好，輔助駕駛也罷，如今更應該關注它們的不足，不是嗎？

其實，有一支科研團隊一直在關注車輛輔助駕駛系統中的缺陷，方法就是“折磨”自動駕駛系統，讓他們露出破綻，然後再給開發商反饋，一同琢磨應對之策。

這支自動駕駛“練兵場”的“藍軍”，來自加州大學爾灣分校，專攻自動駕駛和智慧交通安全。

前不久，他們發現了鐳射雷達 + 視覺融合方案致命漏洞。

近日，團隊的最新成果又發表在了電腦保安四大頂會之一 USENIX Security 2021。

這次，他們盯上的不是最先進，卻是應用規模最大的 L2 級車道保持功能。

這麼說吧，代表自動駕駛陣營出戰的 OpenPilot，100% 失敗。

而且它可以被應用到 15 個品牌 65 種車型，包括中國銷量巨大的豐田凱美瑞、卡羅拉、本田思域、大眾高爾夫等等。

原因，竟是道路上的一灘汙漬。

車道保持 100% 失效，人根本來不及反應

先看結果。

左邊是正常情況，右邊是作者將攻擊資料（即受到攻擊時的路線檢測結果）直接注入到部署了 OpenPilot 輔助駕駛系統的真車上的情況，同一臺車（豐田凱美瑞 2019 款）。

與常見的在道路上放置特殊障礙物不同，這次的攻擊手段，是在路面上鋪一層“地毯”，模擬汙漬。

偽裝性極高，人類老司機都難以分辨。

具體到實驗資料上，在團隊搭建的微縮場景中，攻擊成功率高達 95%。

而在研發流程常用的自動駕駛模擬器 LGSVL 上，這個成功率高達 100%。

當然，團隊研究的一個原則始終是有現實指導意義，所以他們將攻擊資料（即受攻擊時的到路線檢測結果）直接注入到部署了 OpenPilot 的真車（2019 年款豐田凱美瑞）上，就是上面的動圖展示。

實驗結果就更令人擔憂了，10 次攻擊，全部得手。

在所有的測試中，車道保持功能本應以車道線為基準保持直線勻速前行。但測試車輛受攻擊情況下，系統似乎是在緊急躲避障礙一般突然打方向，撞上了紙盒。

從系統接收到偽裝的汙漬反饋，到做出錯誤決策，時間不足 1 秒。

而人類司機在使用輔助駕駛時的平均接管反應時間為 2.5 秒。

所以，你還沒來得及接管，車子就失控了。

車廠意識不到問題嗎？

其實如今大部分具備 L2 輔助駕駛的車輛都帶有緊急剎車和碰撞預警等主動安全功能，但在本次測試中，2019 款豐田凱美瑞的車道偏離預警一次都沒觸發，碰撞預警（FCW）只觸發了 5 次。

FCW 只有預警作用，不能防止碰撞，且平均觸發時間是在碰撞發生前 0.46 秒，相比於人類駕駛員的 2.5 秒平均反應接管時間，於事無補。

看來車廠、供應商要補的課還很多。無論是演算法本身，還是不同輔助駕駛功能的融合協作，都不是把現成方案無腦堆上去就行得通的。

偽造路面汙漬，可怕在哪？

可能造成的後果我們已經看到了，就是車輛突然失控，撞上週圍物體或直接衝下車道，而且司機根本沒有反應時間。

這項研究的意義，除了揭示輔助駕駛系統本身的缺陷，更在於警示使用者和相關管理部門。

路上鋪一塊“汙漬”，成本簡直不要太低。

犯罪分子偽裝成修路工人就能輕鬆佈置完畢，甚至不要偽裝，開車經過時隨手丟地上就行。

而即使沒有惡意攻擊，這個缺陷仍然是巨大隱患。

偽裝的汙漬能癱瘓輔助駕駛系統，那路面上真正的汙漬行不行？

當然有這種可能。路上的汙漬破損再普遍不過，如果恰好形成具有攻擊效果的圖案，一樣會造成車輛失控。

儘管發生概率有限，但極端情況下，確實可能會要命。

怎麼辦？

研究團隊認為，不僅僅是 OpenPilot，這一攻擊適用於任何基於深度神經網路的車道保持系統，並且目前沒有最優解。

這次的研究結果一出，團隊馬上跟 13 家正在研發車道保持系統的公司通報，其中 10 家公司回覆說他們已經開始著手調查該漏洞。

這幾年確實有很多研究者提出多種不同的防禦手段，例如對抗訓練，隨機改變輸入大小和填充等。

但這些防禦手段只能對這個問題提供一定程度的緩解。目前還沒有一種基於模型的防禦手段能夠有效防禦 DRP 攻擊而不降低車道保持功能在正常駕駛場景中的效能。

其他可能的防禦手段還包括類似 L4 自動駕駛系統所使用的多感測器融合。但目前鐳射雷達對於 L2 自動駕駛車輛的商用來說仍然太貴。

此外，車道線檢測與地圖資料的融合也是比較有希望的防禦手段。但是，目前 L2 自動駕駛系統的定位無法實現像 L4 一樣的 釐米級定位精度。

因此，一個後續研究問題是如何有效地檢測 DRP 攻擊而不造成太多誤報。

對於基於感測器/資料融合的防禦措施，主要問題是成本太高且難以擴充套件，比較難在短期內部署。

由於需要更多的研究來實現這樣的防禦措施，研究團隊提出了短期緩解措施：至少應該把路面汙漬和髒路補丁放到 ALC 系統現階段不可處理的場景列表中。

而在檢查了 11 家公司的 ALC 手冊（例如特斯拉、通用 Cruise、OpenPilot、本田 Sensing 和豐田 LTA）之後發現，目前沒有一家公司在他們不可處理的場景列表中列出路面汙漬或髒路補丁。

團隊認為，目前採取“明確在手冊中提及”的方法至少可以有助於使用者提前認識到風險，從而更主動觀察去避免遭到 DRP 攻擊。

傳送門

• 專案網站和攻擊演示視訊：https://sites.google.com/view/cav-sec/drp-attack

• 論文連結：https://www.usenix.org/conference/usenixsecurity21/presentation/sato

• OpenPilot 專案詳細：http://openpilot.sdut.me/about.html