研究人員發現無人駕駛汽車人工智能存安全漏洞

人工智能是自動駕駛汽車的一項關鍵技術。它用於決策、傳感、預測建模和其他任務。但這些人工智能系統在遭受攻擊時的脆弱程度如何呢？

布法羅大學正在開展的研究對這一問題進行了探究，結果表明惡意行爲者可能會導致這些系統失效。例如，通過在車輛上有策略地放置 3D 打印物體，有可能使車輛在人工智能驅動的雷達系統中變得不可見，從而躲避檢測。

研究人員稱，在受控研究環境中開展的這項工作並不意味着現有的自動駕駛汽車不安全。然而，它可能對汽車、科技、保險和其他行業，以及政府監管機構和政策制定者產生影響。

“雖然如今自動駕駛汽車還算新穎，但在不久的將來有望成爲一種主要的交通出行方式，”領導這項工作的計算機科學與工程系紐約州立大學傑出教授 Chunming Qiao 說。“因此，我們需要確保爲這些車輛提供動力的技術系統，尤其是人工智能模型，不受對抗行爲的影響。這是我們在布法羅大學努力研究的內容。”

這項研究在一系列可追溯至 2021 年的論文中有所描述，其中一項研究發表於2021 年 ACM SIGSAC 計算機與通信安全會議（CCS）論文集。最近的例子包括 5 月的一項研究發表於第 30 屆年度移動計算和網絡國際會議論文集（通常稱爲 Mobicom），以及本月第 33 屆 USENIX 安全研討會上的另一項研究，可在arXiv上獲取。

在過去的三年裡，Yi Zhu 和 Qiao 團隊的其他成員一直在布法羅大學北校區對一輛自動駕駛汽車進行測試。

朱於 5 月從 UB 的計算機科學與工程系完成了博士學業，最近在韋恩州立大學接受了教職。作爲網絡安全領域的專家，他是上述論文的主要作者，這些論文重點研究了激光雷達、雷達和相機的漏洞，以及將這些傳感器融合起來的系統。

“在自動駕駛領域，毫米波[mmWave]雷達因在雨、霧及光照條件差的情況下比許多相機更可靠、更準確，已被廣泛應用於物體檢測，”朱說。“但雷達可能會遭受數字和人爲的攻擊。”

在對這一理論的一次這樣的測試中，研究人員利用 3D 打印機和金屬箔製造出具有特定幾何形狀的物體，他們將其稱爲“瓦片掩碼”。通過在車輛上放置兩個瓦片掩碼，他們發現能夠誤導雷達檢測中的人工智能模型，進而讓該車輛從雷達中消失。

關於瓦片掩碼的工作於 2023 年 11 月發表在2023 年 ACM SIGSAC 計算機與通信安全會議論文集中。

朱指出，雖然人工智能可以處理大量信息，但如果給它特殊的指令，而這些指令它沒有經過訓練來處理，它也可能會感到困惑並提供不正確的信息。

“假設我們有一張貓的圖像，人工智能能夠正確識別這是一隻貓的圖像，”朱說。“但如果我們對圖像中的幾個像素稍作改動，那麼人工智能可能就會認爲這是一張狗的圖像，”“這是人工智能的對抗性樣本。近年來，研究人員爲不同的人工智能模型發現和設計了許多對抗性樣本。所以，我們自問：是否有可能爲自動駕駛汽車中的人工智能模型設計樣本？”

研究人員指出，潛在的攻擊者可能會在司機開始行程前、臨時停車時或者在紅綠燈處停車時，偷偷地往車輛上貼上對抗性物體。朱說，他們甚至可以把物體放在行人所穿戴的物品裡，比如揹包中，從而有效地讓該行人無法被檢測到。

這種攻擊的可能動機包括爲了保險欺詐而製造事故、自動駕駛公司之間的競爭，或者個人想要傷害另一輛車的司機或乘客。

研究人員說，需要注意的是，模擬攻擊假定攻擊者完全瞭解受害者車輛的雷達物體檢測系統。雖然獲取這些信息是有可能的，但對於公衆來說，這種情況不太可能發生。

朱表示，大多數自動駕駛汽車的安全技術都聚焦於車輛的內部，而很少有研究關注外部威脅。

安全方面在一定程度上落後於其他技術。

雖然研究人員一直在尋找阻止此類攻擊的方法，但他們尚未找到明確的解決方案。

“我認爲要創建一個絕對可靠的防禦手段還有很長的路要走，”朱說。“未來，我們不僅想研究雷達的安全性，還想研究像攝像頭和運動規劃等其他傳感器的安全性。並且我們也希望開發一些防禦解決方案來減輕此類攻擊帶來的影響。”