几张贴纸，我就能黑掉自动驾驶汽车信不？

包括华盛顿大学、密歇根大学、斯托尼布鲁克大学和加州大学伯克利分校，近期就针对“自动驾驶识别技术”做了一个实验。

华盛顿大学的安全研究员 Yoshi Kohno 跟他的同事们开发了一个新的算法 Robust Physical Perturbations (RP2)，生成一些彩色或者黑白的图案，可以迷惑自动驾驶汽车用于记录和分析道路信息的路标分类器（road sign classifier）。

他们用这套算法做了两次种方式的尝试，使用的是家用打印机。一个是打印出了一张右转弯的标志，覆盖在原有的路牌上，一个是给停车标志用彩色贴纸贴出了 love 和 hate 两个词，对应的路标分类器将其都误认为是限速 45 英里/小时（折合 72 千米/小时）的标志。这两种实验在 1.5-12 米的范围内、5-40 度视角内都有效。


或许一般驾驶人很容易判别这些路牌的真正含意，但对于自动驾驶系统来说，使用深度学习算法用来研究、分类这些道路上记录的行人、指示灯、其他车辆；图像识别系统先记录再分类识别，但使用算法来研究这些道路指示牌容易出现问题，导致车祸发生。

实验显示，若在路牌上贴了贴纸，恐影响自动驾驶系统判读。(source：《autoblog》)

举例来说，上图中的 4 种标志是该团队设计出来专门“欺骗”自动驾驶汽车的。在左边第一张图的场景中（标志上写有“love”和“hate”的），自动驾驶汽车会将停止标志认成“限速 45 英里/小时”），而且一骗一个准。

左起第二和第三张图中，贴纸和涂鸦也能骗过机器学习系统，不过欺骗的成功率仅为 67%。

第四张图中专门印刷出来的假路标也会让机器学习系统变傻，在它眼中“右转”成了停止标志（欺骗成功率 100%）。

如何破解此类危险恶作剧？

修改道路指示牌是违法，但这不代表没有人会恶意涂改。换句话说，这是一个小概率事件，但在一些人为恶意操作，或者是恶劣天气下，这种情况仍然可能会发生。

但这问题真的无解吗？自动驾驶研发公司Voyage的高级研究员加利(El-Gaaly)就指出，除了镜头识别之外，其实可以加上定位来让系统做交叉比对，做出正确判断。但加利也强调，当前自动驾驶技术还有许多难题仍然待解，汽车制造商要让机器学习系统掌握更多的语境信息，毕竟在繁忙的州际公路上是不会出现停止标志的。

外部条件方面，保持路标清洁将会成为智能城市管理者的强制责任。研究人员也给管理者们出了招，未来的路牌可以采用防贴纸材料制作。

这已经不是第一个有关自动驾驶汽车被黑或者被干扰的研究了。2015 年 9 月时，Security Innovation 的安全研究人员 Jonathan Petit 就声称他能轻松愚弄任何自动驾驶汽车上的 LiDAR，导致车辆减速或急刹车，而所用的干扰工具只不过是能发射激光脉冲的自制小设备而已。

此前沃尔沃自动驾驶项目 Drive Me 的技术总监戴维·皮克特承认，当澳洲的袋鼠跳到空中时，他们在测试的自动驾驶汽车会判断袋鼠跟车的距离拉开，可能没法及时调整车速，最终可能会导致碰撞事件。

现在看起来，在识别路牌上，自动驾驶汽车暂时还没有人眼好用。

本文综合自中时电子报、雷锋网报道

关注最前沿的电子设计资讯，请关注“电子工程专辑微信公众号”。