瞬间的“幻影”图像可以愚弄特斯拉的自动驾驶

对像特斯拉这样的自动驾驶辅助系统的安全担忧通常集中在汽车看不到的地方，比如2016年一辆特斯拉将卡车的白色部分与明亮的天空混淆，导致司机死亡。但一组研究人员一直在关注自动驾驶系统可能会看到哪些人类司机没有看到的东西，包括幻影和标志，这些东西和标志实际上并不在那里，这可能会对道路造成严重破坏。

以色列内盖夫本古里安大学(Ben Gurion University Of The Negev)的研究人员在过去两年里一直在试验这些幻影图像，以欺骗半自动驾驶系统。他们之前透露，他们可以利用道路上瞬间的光线投射，成功地欺骗特斯拉的驾驶员辅助系统，当其摄像头看到伪造的路牌或行人图像时，自动停止而没有任何警告。在一项新的研究中，他们发现，只要在广告牌的视频上插入几帧路牌，他们就可以完成同样的戏法。他们警告说，如果黑客劫持了一块联网的广告牌来实施这一伎俩，它可能会被用来造成交通堵塞甚至交通事故，同时几乎没有留下什么证据。

本·古里安大学(Ben Gurion University)和佐治亚理工学院的研究人员伊斯罗尔·米尔斯基(Yisroel Mirsky)参与了这项研究，他说，攻击者只需在路上照一张东西的图像，或者在数字广告牌上注入几个帧，汽车就会刹车或可能转向，这是危险的。这项研究将在下个月的ACM计算机和通信安全会议上公布。司机根本不会注意到的。所以有些人的车会做出反应，他们不会明白为什么。

在今年早些时候发表的第一轮研究中，研究小组将人体图像投射到道路上，以及路牌投射到树木和其他表面。他们发现，在晚上，当投影可见时，他们可以欺骗运行HW2.5型自动驾驶辅助系统的特斯拉Model X和Mobileye 630设备。HW2.5型自动驾驶辅助系统是当时可用的最新版本，现在是第二个最新的版本。他们设法让特斯拉停车，让一名幻影行人出现了不到一秒的时间，并欺骗Mobileye的设备将错误的限速信息传达给了带有投影路标的司机。

在这组最新的实验中，研究人员在数字广告牌上注入了幻影停车标志的帧，模拟了他们所描述的有人侵入路边广告牌更改视频的情景。他们还升级到了特斯拉最新版本的Autopilot，也就是众所周知的HW3。他们发现，他们可以再次欺骗特斯拉，或者让同样的Mobileye设备只需更改几帧视频就能向司机发出错误警报。

研究人员发现，一张出现0.42秒的图像可以可靠地欺骗特斯拉，而一张只出现八分之一秒的图像会欺骗Mobileye的设备。他们还试验了在视频帧中寻找人眼最不会注意到的地方，甚至开发了自己的算法来识别图像中的关键像素块，这样半秒长的幻影路标就可以被塞进平淡无奇的部分。虽然他们在一条小路上的电视大小的广告牌屏幕上测试了他们的技术，但他们表示，这种技术可以很容易地改编成数字高速公路广告牌，在那里可能会造成更广泛的混乱。

本·古里安的研究人员远不是第一个展示欺骗特斯拉传感器输入的方法。早在2016年，一组中国研究人员就展示了他们可以使用无线电、声波和发光设备来欺骗甚至隐藏特斯拉的传感器。最近，另一个中国团队发现，他们可以利用特斯拉的车道跟踪技术，只需在道路上贴上廉价的贴纸，就可以诱使特斯拉改变车道。

但本·古里安的研究人员指出，与那些早期的方法不同，他们的预测和黑客攻击广告牌的把戏不会留下实物证据。特别是闯入广告牌可以远程进行，正如许多黑客之前所证明的那样。该小组推测，幽灵袭击可能是一种敲诈勒索技术，也可能是一种恐怖主义行为，或者纯粹是为了恶作剧。本·古里安研究员本·纳西说，以前的方法会留下法医证据，而且需要复杂的准备工作。幽灵攻击可以完全远程进行，并且不需要任何特殊的专业知识。

Mobileye和特斯拉都没有回复“连线”杂志的置评请求。但在上周发给研究人员的一封电子邮件中，特斯拉提出了一个熟悉的论点，即其自动驾驶功能并不意味着完全自动驾驶系统。特斯拉在回复中写道，自动驾驶是一种驾驶员辅助功能，仅适用于全神贯注的司机，他们的手放在方向盘上，随时准备接手。本·古里安的研究人员反驳说，自动驾驶在实践中的使用方式非常不同。米尔斯基在一封电子邮件中写道，正如我们所知，人们将这一功能作为自动驾驶，在使用它的同时并不会百分之百地注意道路上的情况。因此，我们必须设法减轻这一威胁，以确保人们的安全，而不理会[特斯拉]的警告。

特斯拉确实有一定的道理，尽管没有给自己的司机带来太多安慰。特斯拉的自动驾驶系统在很大程度上依赖于摄像头，其次是雷达，而更多真正的自动驾驶汽车，如Waymo、优步或通用汽车旗下的自动驾驶汽车初创公司Cruise开发的汽车，也集成了基于激光的激光雷达，Cruise的首席自动驾驶汽车安全架构师查理·米勒指出。米勒说，激光雷达不会受到这种类型的攻击。你可以更改广告牌上的图像，但激光雷达并不在意，它是测量距离和速度信息。因此，这些攻击不会对大多数真正的自动驾驶汽车起作用。

本·古里安的研究人员没有测试他们对其他更多传感器设置的攻击。但他们确实展示了检测他们创建的幻影的方法，即使是在基于相机的平台上也是如此。他们开发了一套他们称之为“捉鬼敢死队”的系统，旨在综合考虑深度、光线和感知到的交通标志周围的环境等因素，然后在判断路牌图像是否真实之前权衡所有这些因素。米尔斯基说，这就像是一个专家委员会聚集在一起，根据截然不同的观点决定这张照片是什么，是真的还是假的，然后做出集体决定。研究人员说，这一结果可以更可靠地击败他们的幻影攻击，而不会明显减慢基于相机的自动驾驶系统的反应。

本·古里安(Ben Gurion)的纳西承认，“捉鬼敢死队”系统并不完美，他辩称，他们的幻影研究表明，即使有多个传感器(比如特斯拉的雷达和摄像头)，也很难做出自动驾驶决策。他说，特斯拉采取了一种安全胜过抱歉的做法，即如果摄像头显示前方有障碍物或路标，它就只信任摄像头，使其容易受到他们的幻影攻击。但是，如果一个或多个车辆的传感器遗漏了危险，另一种选择可能会忽略这些危险。纳西说，如果你实现了一个忽略幻影的系统，如果它们没有得到其他传感器的验证，你很可能会发生一些事故。减轻幻觉是有代价的。

克鲁斯的查理·米勒(Charlie Miller)曾在优步(Uber)和中国自动驾驶汽车公司滴滴出行(Didi Chuxing)从事自动驾驶车辆安全方面的工作，他反驳说，真正自动驾驶的激光雷达车辆实际上已经成功地解决了这个问题。米勒说，针对传感器系统的攻击很有趣，但这并不是针对我熟悉的系统的严重攻击，比如优步(Uber)和巡航车辆(Cruise Vehicles)。但他仍然看到了本·古里安作品的价值。这是我们需要思考、努力和计划的事情。这些汽车依赖于它们的传感器输入，我们需要确保它们是可信的。

🏃🏽‍♀️想要最好的健康工具吗？看看我们Gear团队挑选的最好的健身跟踪器、跑步装备(包括鞋子和袜子)和最好的耳机