通过在道路上投射幻影或在路边数字广告牌中插入交通标志图像,能够干扰到特斯拉Autopilot系统,造成行驶中的测试车辆刹车或转向。
腾讯科技讯 10月12日消息,据媒体报道,最近以色列本古里安大学开展的一项研究发现,通过在道路上投射幻影或在路边数字广告牌中插入交通标志图像,能够干扰到特斯拉Autopilot系统,造成行驶中的测试车辆刹车或转向。
对于诸如特斯拉Autopilot等汽车自动驾驶辅助系统,人们关注的安全问题通常集中在汽车发现不到的东西上。比如2016年发生的一起车祸中,一辆特斯拉轿车将卡车白色一侧与明亮的天空相混淆而直接撞了上去,导致一名司机死亡。但是,有研究人员一直在研究自动驾驶系统可能会发现驾驶员看不到的东西,包括可能对道路行驶造成严重影响的“幻影”物体和交通信号。
以色列内盖夫本古里安大学(Ben Gurion University)的研究人员过去两年一直在用这种“幻影”图像来欺骗辅助驾驶系统。研究人员前曾透露,他们可以通过向道路投射瞬间光线,成功诱使特斯拉的自动驾驶辅助系统以为看到路牌或行人,从而在没有警告的情况下自动停车。在一项新的研究中,他们发现只要在路边广告牌的播放视频中插入几帧交通标志,就可以达到同样效果。研究人员还警告说,如果黑客劫持了联网广告牌来实施这种干扰,可能会造成交通堵塞甚至交通事故,同时几乎不会留下任何证据。
本古里安大学和佐治亚理工学院研究人员伊斯罗尔·米尔斯基(Yisroel Mirsky)表示:“攻击者只需要向道路上投射明亮图像,或者是向路边的数字广告牌插入几帧交通标志,就会让汽车刹车或转向,这很危险。”这项研究工作的技术人员将于下个月在ACM计算机和通信安全会议上发表相应成果。“司机根本不会注意到。所以有些人的车就会做出反应,而他们也不会知道为什么。”
在今年早些时候发表的第一轮研究中,该研究团队将人物图像投影到道路上,或者是将交通标志投影到树木和其他物体表面。研究人员发现,当投影在夜间肉眼可见的情况下,他们完全可以欺骗一辆运行Autopilot HW2.5辅助驾驶系统的特斯拉Model X电动汽车和一部Mobileye 630设备。HW2.5是当时最新版本的Autopilot自动驾驶辅助系统。他们投射的行人图像只出现了不到一秒钟,就成功让特斯拉停车。此外,他们还用投射的交通标志让Mobileye 630设备报出错误的速度限制。
在最新进行的一系列实验中,研究人员在路边数字广告牌上插入了一帧停车标志,借此模拟他们所描述的场景:有人侵入路边的数字广告牌,更改了视频内容。研究人员还将特斯拉Autopilot升级到最新版的HW3。他们发现可以再次欺骗特斯拉,或者让同一个Mobileye 630设备错误提醒司机。
研究人员发现,一张出现时间仅为0.42秒的图像就能骗过特斯拉,而一张出现时间仅为0.125秒的图片就能骗过Mobileye设备。除此之外,研究人员还尝试在视频中不会引起人们注意的地方插入图像。他们是在一条小路上的电视大小数字广告牌上测试这种干扰技术,但研究人员称这种技术也可以用到高速公路的数字广告牌上,可能会造成更大范围的交通混乱。
本古里安大学的研究人员并不是第一个演示欺骗特斯拉传感器输入的方法的人。早在2016年,一个研究团队就展示了他们可以利用无线电、声波和发光设备来干扰甚至隐藏目标物体,使其不被特斯拉的传感器发现。最近另一个团队发现,他们可以干扰特斯拉的车道跟踪技术,通过在道路上粘贴廉价标签来诱使特斯拉改变车道。
但本古里安大学的研究人员指出,与早期方法不同,他们在道路上投影或黑进数字广告牌的方法不会留下实证。就像许多黑客之前证明的那样,侵入数字广告牌可以远程实施。“以前的方法会留下证据,需要复杂的准备工作,”本古里安大学研究人员本·纳西(Ben Nassi)说。“幻影攻击完全可以远程进行,不需要任何特殊技能。”
Mobileye和特斯拉均未回应置评请求。但在上周发给研究人员本人的电子邮件中,特斯拉给出了人们已经熟知的说法,即其Autopilot并不是一个完全自动驾驶系统。特斯拉在回复中写道:“Autopilot是一项辅助驾驶功能,仍需要驾驶员完全专注于驾驶车辆,他们需要将手放在方向盘上,随时准备接管。”本古里安大学的研究人员反驳说,Autopilot在现实中的使用完全不同。米尔斯基在一封电子邮件中写道:“众所周知,人们把这个功能当作自动驾驶系统来用,使用时根本不会保持100%的注意力。”“因此,不管特斯拉的警告如何,我们必须努力减轻这一威胁以确保安全。”
Cruise首席自动驾驶汽车安全架构师查理·米勒(Charlie Miller)指出,特斯拉的Autopilot系统主要依赖于摄像头而非车载激光雷达,而诸如Waymo、Uber或通用汽车旗下自动驾驶汽车初创公司Cruise开发的自动驾驶汽车系统则主要利用车载激光雷达的数据。“激光雷达不容易受到这种类型的攻击,”米勒说,“激光雷达并不关心你是否改变数字广告牌上的图像,它测量的是距离和速度信息。所以这些攻击不会对大多数真正的自动驾驶汽车起效。”
本古里安大学的研究人员并没有测试他们对其他多种传感器设备的攻击效果。但他们也展示了基于摄像头的驾驶平台如何检测出“幻影”的方法。研究人员开发处一个所谓“捉鬼敢死队”的系统,该系统的设计考虑了一系列因素,如深度、光线和可感知的交通标志周围的环境,然后在判断道路标志图像是否真实之前对所有这些因素进行权衡。米尔斯基说:“这就像一个由专家组成的委员会,根据各自观点来决定这个图像是什么,是真的还是假的,然后做出一个集体决定。”研究人员说,这样可以击败他们的幻影攻击,而且不会明显减慢基于摄像头的自动驾驶系统的反应。
本古里安大学的纳西承认,“捉鬼敢死队”系统并不完美,他认为,他们对幽灵的研究表明,即使特斯拉系统使用车载雷达和摄像头等多种传感器,自动做出驾驶决策也存在固有困难。他说,特斯拉采取的是一种“安全胜于遗憾”的方法,如果摄像头显示前方有障碍物或路标,系统就会采纳摄像头的探测结果,这使得系统很容易受到幻影攻击。但是反之另一种决策可能会忽略存在的危险。纳西说:“如果你的系统在运行中无视幻影的存在,又无法被其他类型的传感器所验证,就可能会发生事故。”“减轻幻影攻击是要付出代价的。”
Cruise的米勒则反驳说,支持激光雷达的真正自动驾驶汽车实际上已经解决了这个问题。米勒说:“对传感器系统的攻击很有趣,但对我熟悉的系统来说,这不是一次严重攻击。”但他仍然看到了本古里安大学研究的价值。“这是我们需要思考、努力和规划的事情。这些汽车依靠传感器的输入,我们需要确保它们是可信的。”(腾讯科技审校/皎晗)
领取专属 10元无门槛券
私享最新 技术干货