杜克大学研究人员警告 自动驾驶汽车传感器被攻击后会产生错误数据

据外媒报道，杜克大学（Duke University）的研究人员展示了首个攻击策略，可欺骗行业标准自动驾驶汽车传感器，使其相信附近物体比实际距离更近（或更远）而不被发现。研究表明，增加光学3D功能或与附近汽车共享数据非常必要，可保护自动驾驶汽车免受攻击。

图片来源：杜克大学

研究人员称开发自动驾驶最大挑战之一是防止攻击。确保安全的常见策略之一是相互检查不同仪器的数据，以确保测量结果一致。

目前，自动驾驶汽车公司最常用的定位技术结合了摄像头的2D数据和LiDAR的3D数据。事实证明，这种组合对于试图欺骗视觉系统错误地看待世界的各种攻击非常有效，且截至目前仍然如此。

杜克大学电气和计算机工程的Dickinson Family副教授Miroslav Pajic表示：“我们的目标是了解现有系统的局限性，以便我们能够抵御攻击。这项研究表明，在 3D点云中，物体实际位置前或之后添加几个数据点，可使这些系统混淆，从而做出危险决策。”

最新攻击策略通过向汽车的激光雷达传感器发射激光枪可为其感知添加虚假数据点。如果这些数据点与汽车摄像头所看到的完全不一样，那么之前的研究表明该系统可以识别攻击。但Pajic及其同事的新研究表明，将3D LIDAR数据点仔细放置在相机2D视野的某个区域内可以欺骗系统。

该脆弱的区域在摄像头镜头前以截锥体的形状延伸，即一个尖端被切掉的3D金字塔。对于安装在汽车上的前置摄像头，这意味着位于附近另一辆汽车前面或后面的一些数据点可以改变系统对位置的感知，产生几米误差。

图片来源：杜克大学

根据Pajic的说法，在汽车或路边物体上设置激光以欺骗高速公路上经过的个别车辆的风险不大。然而，在单一车辆可能成为非常高价值目标的军事情况下，这种风险会大大增加。如果黑客能够找到不需要物理激光，虚拟创建这些虚假数据点的方法，那么许多车辆可能会同时受到攻击。

Pajic说，防止这些攻击方式会增加冗余。例如，如果汽车拥有具有重叠视野的“立体摄像头”，汽车可以更好地估计距离，并注意到与其感知不匹配的激光雷达数据。

Pajic的网络物理系统实验室（CPSL@Duke）的博士生和该研究的主要作者Spencer Hallyburton表示：“立体相机更有可能是一种可靠的一致性检查，尽管还没有软件经过充分验证来确定激光雷达/立体相机数据是否一致，或者发现不一致的应对措施。此外，要完美保护整辆车，需要在其整个车身周围安装多组立体摄像头，以提供100%的覆盖率。”

Pajic建议可以开发系统，让靠近车辆共享部分数据。物理攻击不可能同时影响多辆汽车，而且由于不同品牌的汽车可能有不同的操作系统，网络攻击不可能一次打击所有汽车。

Pajic称：“通过该领域的所有成功，我们将能够构建可信赖的系统。虽然可能还需要十年，但我们相信未来一定可以。”