自动驾驶仿真环境跟车2分钟,就让自动驾驶系统撞上马路牙子,攻破率超90%( 二 )


也就是说 , 在2分钟内 , 如果攻击算法让车子偏离了车道、或是开到了逆向车道上 , 那么攻击就成功了 。
如下图 , 两种攻击方式分别可以实现至少97%和91%的成功率 。
自动驾驶仿真环境跟车2分钟,就让自动驾驶系统撞上马路牙子,攻破率超90%
本文插图
也就是说 , 在FusionRipper的攻击下 , 跟车2分钟内 , 自动驾驶汽车就有97%的几率偏离车道行驶 , 91%的可能开到逆向车道 。
不仅如此 , 与其他攻击算法对比的结果发现 , FusionRipper甚至能完美攻击目前「最强的」自动驾驶算法 。
在3种比较先进的MSF算法上 , 研究者们将FusionRipper和普通的随机攻击算法进行了对比测试 。
下图是测试的结果 , 可以看见 , 在JS-MSF和ETH-MSF这两种自动驾驶算法上 , 普通的随机攻击还是很有用的 , 导致车辆偏离车道的成功率会比导致其逆向行驶的成功率更高 。

自动驾驶仿真环境跟车2分钟,就让自动驾驶系统撞上马路牙子,攻破率超90%
本文插图
然而 , 当普通的随机攻击算法遇上BA-MSF后 , 就「蔫了」 , 从图中显示的数据结果来看 , 成功让汽车偏离车道、或是逆向行驶的几率 , 只有3.7%和0.2% 。
相对的 , FusionRipper算法却依旧保持了强劲的势头 。
即使在面对BA-MSF时 , FusionRipper也有97%的几率让自动驾驶汽车偏离轨道 。
事实上 , 由于这种算法对攻击参数的选择非常敏感 , 研究者们提出了一种离线方法 , 可以在实际攻击前选出高效的攻击参数 。
当然 , 这让攻击条件本身也受到限制 , 攻击者需要拥有与受害者型号相同的自动驾驶车辆 , 也就是需要有相同的传感器组 , 攻击才能被完成 。
如下图 , 测试结果表明 , 这种离线方法在攻击时 , 最终能成功实现偏离车道和发生逆行的概率都至少能达到80%以上 。
自动驾驶仿真环境跟车2分钟,就让自动驾驶系统撞上马路牙子,攻破率超90%
本文插图
听起来 , 这个漏洞后果很严重 , 不过研究者表示 , 能找到解决的办法 。
这种攻击的根本原理 , 依旧是GPS信号欺骗 。
如果利用现有的GPS信号欺骗检测技术(例如监控信号功率、基于多天线的信号到达角度检测、或基于密码认证的GPS基础架构) , 某种程度上可以进行防御 , 但这些现有技术 , 都无法完全解决问题 。
从根本上来说 , 需要提高的是MSF的定位置信率 , 这是克服系统弱点的唯一方法 , 但尚不清楚目前何时能实现这样的突破 。
不过 , 通过独立的定位源来交叉检查定位结果、减轻攻击 , 仍然是一个可行的方向 , 其中一种方法就是基于摄像头的车道检测 。
自动驾驶仿真环境跟车2分钟,就让自动驾驶系统撞上马路牙子,攻破率超90%
本文插图
当然 , 要实现这样的攻击 , 成本其实也并不低 。
据作者介绍 , 硬件方面主要包括两个部分:价值在2500美元(约合1.7万人民币)左右的高端GPS spoofer , 以及一辆能够实时跟车、精准定位目标车辆的自动驾驶车辆 。
所以 , 研究者表示 , 文中提到这种攻击算法可能被应用的一种比较现实的情况 , 是攻击者是自动驾驶行业的竞争对手 。
瞄准最强自动驾驶开源系统
不挑特斯拉 , 不选谷歌 , 团队这次专门挑了百度的Apollo下手 , 原因何在?
对此 , 论文一作、UCI在读博士生沈骏杰表示 , 选择Apollo的原因 , 其实比较现实:它的系统开源 。
自动驾驶仿真环境跟车2分钟,就让自动驾驶系统撞上马路牙子,攻破率超90%
本文插图
Apollo有着目前世界上最大的自动驾驶开源社区 , 影响范围广、便于研究 。
当然 , 选择Apollo的原因也不仅于此 。