只需一盏LED灯,通过控制发光颜色频率实现快速闪烁,就能让自动驾驶系统的摄像头拍摄的照片呈现不正常效果,难以正常识别为交通标志。
前情回顾·新技术安全
安全内参5月13日消息,六位来自新加坡大学的研究员表示,他们已经证明,可以通过摄像头视觉技术干扰自动驾驶汽车,导致车辆无法识别道路标志。
国际计算机协会(ACM)国际移动软件工程和系统会议计划下月举办,研究员将在会上发表论文,介绍这项名为GhostStripe的技术。这种技术虽然肉眼不可见,但可能对特斯拉和百度Apollo驾驶系统构成致命威胁,因为它利用了这两个品牌所采用的CMOS摄像头传感器。
一盏LED灯实现攻击
GhostStripe通过利用LED灯向道路标志投射特定图案,使汽车的自动驾驶软件无法理解这些标志。这种方法属于机器学习领域的经典对抗攻击。
该技术的关键在于滥用典型CMOS摄像头传感器的滚动数字快门机制。LED灯在主动捕获线沿传感器移动时快速闪烁,将不同颜色的光投射到标志上。通过这种人工照明,停车标志上的红色在每条扫描线上可能呈现不同的外观。
因此,摄像头捕获到的图像达不到预期的线条匹配度。随后,图像被裁剪并发送到汽车自动驾驶软件内的分类器。通常,分类器会基于深度神经网络解释图像。由于图像充满了看起来不正常的线条,分类器无法将其识别为交通标志,因此车辆不会对其采取行动。这些内容在先前的研究中已经得到证实。
稳定复现性极佳
然而,研究人员不仅通过上述方法扭曲标志的外观,还声称能够稳定地重复这样的操作。该团队并不满足于仅通过一张扭曲的图像混淆分类器,而是让摄像头捕获的每一帧图像都呈现出异常的外观,从而使这种攻击技术在现实世界中变得可行。
研究人员解释说:“要实现稳定的攻击,需要根据受害者摄像头的操作信息,以及实时估计的摄像头视野内交通标志位置和大小,精心控制LED的闪烁。”
该团队开发了两个版本的稳定攻击手段。第一种称为GhostStripe1,无需接触车辆即可实施。它利用跟踪系统监视目标车辆的实时位置,并根据情况动态调整LED的闪烁,确保标志无法被正确识别。
另一种更为针对性,称为GhostStripe2,需要接触车辆,或许可以在车辆维护时由犯罪分子秘密实施。它在摄像头的电源线上放置一个传感器,以检测拍摄时刻,从而精确控制时间,完成近乎完美的攻击。
研究人员写道:“总之,这项技术针对特定受害车辆,控制受害者的交通标志识别结果。”
百度自动驾驶参考硬件可被欺骗
该团队在真实道路上测试了他们的系统,测试车辆配备了百度Apollo硬件参考设计中使用的Leopard Imaging AR023ZWDR摄像头。他们对停车、让行和限速标志进行了测试。
据研究人员称,GhostStripe1的成功率为94%,GhostStripe2的成功率为97%。值得注意的是,强烈的环境光会降低攻击的性能。该团队表示:“性能下降是因为攻击光被环境光掩盖了。”这表明犯罪分子在计划攻击时需要仔细考虑时间和地点。”
有多种方法可以对抗上述攻击。最简单的做法是将滚动快门CMOS摄像头替换为一次拍摄整个画面的传感器,或者对行扫描进行随机化。此外,增加更多摄像头可能会降低成功率,足以抵御这种程度的黑客攻击。我们还可以将这种攻击加入AI训练数据,以使系统学会如何应对。
这项研究属于对抗性输入欺骗自动驾驶汽车神经网络这一研究领域。此前,曾有研究团队使用该方法迫使特斯拉Model S突然偏离车道。
这项研究表明,仍然有很多AI和自动驾驶车辆安全问题有待解决。外媒The Register已请求百度就其Apollo摄像头系统发表评论,一旦有实质性回复,将进行报道。
参考资料:theregister.com