ยานพาหนะที่เป็นอิสระสามารถถูกหลอกให้ตรวจ ฝากถอนไม่มีขั้นต่ำ เว็บตรง จับสิ่งกีดขวางปลอมซึ่งเป็นช่องโหว่ร้ายแรง
โดย YULONG CAO & Z. MORLEY MAO/THE CONVERSATION | เผยแพร่ 9 มี.ค. 2020 14:03 น.
เทคโนโลยี
รถยนต์ไร้คนขับจำลองติดตั้งเซ็นเซอร์บนท้องถนน
รถยนต์ไร้คนขับจำลองติดตั้งเซ็นเซอร์บนท้องถนน the_lightwriter/ฝากรูปภาพ
แบ่งปัน
Yulong Cao เป็นนักศึกษาระดับปริญญาเอกด้านวิทยาการคอมพิวเตอร์และวิศวกรรมศาสตร์ที่มหาวิทยาลัยมิชิแกน Z. Morley Mao เป็นศาสตราจารย์ด้านวิศวกรรมไฟฟ้าและวิทยาการคอมพิวเตอร์ที่มหาวิทยาลัยมิชิแกน เรื่องนี้เดิมให้ความสำคัญกับThe Conversation
ไม่มีอะไรสำคัญสำหรับรถยนต์ไร้คนขับมากไปกว่าการรับรู้ถึงสิ่งที่เกิดขึ้นรอบข้าง เช่นเดียวกับคนขับที่เป็นมนุษย์ ยานยนต์ไร้คนขับต้องการความสามารถในการตัดสินใจในทันที
ทุกวันนี้ ยานยนต์ไร้คนขับส่วนใหญ่อาศัย
เซ็นเซอร์หลายตัวในการรับรู้โลก ระบบส่วนใหญ่ใช้กล้อง เซ็นเซอร์เรดาร์ และเซ็นเซอร์ LiDAR (การตรวจจับแสงและเซ็นเซอร์วัดระยะ) ร่วมกัน บนเครื่องบิน คอมพิวเตอร์จะหลอมรวมข้อมูลนี้เพื่อสร้างมุมมองที่ครอบคลุมเกี่ยวกับสิ่งที่เกิดขึ้นรอบ ๆ รถ หากไม่มีข้อมูลนี้ ยานยนต์ไร้คนขับก็ไม่มีความหวังว่าจะสามารถท่องโลกได้อย่างปลอดภัย รถยนต์ที่ใช้ระบบเซ็นเซอร์หลายตัวทั้งทำงานได้ดีและปลอดภัยกว่า โดยแต่ละระบบสามารถใช้เป็นเครื่องตรวจสอบระบบอื่นๆ ได้ แต่ไม่มีระบบใดรอดพ้นจากการโจมตี
น่าเสียดายที่ระบบเหล่านี้ไม่สามารถป้องกันความผิดพลาดได้ ระบบการรับรู้โดยใช้กล้องสามารถหลอกได้ง่ายๆ โดยการติดสติกเกอร์บนป้ายจราจรเพื่อเปลี่ยนความหมายโดยสิ้นเชิง
งานของเราจากRobustNet Research Groupที่มหาวิทยาลัยมิชิแกน ได้แสดงให้เห็นว่าระบบการรับรู้ที่ใช้ LiDAR สามารถประกอบขึ้นได้ด้วย ด้วยการปลอมแปลงสัญญาณเซ็นเซอร์ LiDAR อย่างมีกลยุทธ์ การโจมตีสามารถหลอกระบบการรับรู้ตาม LiDAR ของยานพาหนะให้ “มองเห็น” อุปสรรคที่ไม่มีอยู่จริงได้ หากเป็นเช่นนี้ ยานพาหนะอาจทำให้เกิดการชนโดยการกีดขวางการจราจรหรือเบรกกะทันหัน
การปลอมแปลงสัญญาณ LiDAR
ระบบการรับรู้ตาม LiDAR มีองค์ประกอบสองส่วน: เซ็นเซอร์และโมเดลการเรียนรู้ของเครื่องที่ประมวลผลข้อมูลของเซ็นเซอร์ เซ็นเซอร์ LiDAR จะคำนวณระยะห่างระหว่างตัวมันเองกับสภาพแวดล้อมโดยรอบโดยปล่อยสัญญาณแสงและวัดระยะเวลาที่สัญญาณนั้นกระเด็นออกจากวัตถุและกลับไปที่เซ็นเซอร์ ระยะเวลาของการกลับไปกลับมานี้เรียกอีกอย่างว่า “เวลาของเที่ยวบิน”
หน่วย LiDAR ส่งสัญญาณแสงนับหมื่นต่อวินาที จากนั้นโมเดลแมชชีนเลิร์นนิงจะใช้พัลส์ที่ส่งกลับเพื่อวาดภาพโลกรอบๆ ตัวรถ คล้ายกับที่ค้างคาวใช้ echolocation เพื่อดูว่ามีสิ่งกีดขวางอยู่ที่ไหนในตอนกลางคืน
ปัญหาคือพัลส์เหล่านี้สามารถปลอมแปลงได้ เพื่อหลอกเซ็นเซอร์ ผู้โจมตีสามารถฉายสัญญาณแสงของตัวเองไปที่เซ็นเซอร์ นั่นคือทั้งหมดที่คุณต้องใช้เพื่อให้เซ็นเซอร์ปะปนกัน
อย่างไรก็ตาม การปลอมแปลงเซ็นเซอร์ LiDAR เพื่อ “เห็น” “ยานพาหนะ” ที่ไม่ได้อยู่ในนั้นทำได้ยากกว่า เพื่อให้ประสบความสำเร็จ ผู้โจมตีจำเป็นต้องจับเวลาสัญญาณที่ยิงไปที่เหยื่อ LiDAR อย่างแม่นยำ สิ่งนี้จะต้องเกิดขึ้นที่ระดับนาโนวินาที เนื่องจากสัญญาณเดินทางด้วยความเร็วแสง ความแตกต่างเล็กน้อยจะโดดเด่นเมื่อ LiDAR กำลังคำนวณระยะทางโดยใช้เวลาที่วัดได้ของเที่ยวบิน
หากผู้โจมตีหลอกเซ็นเซอร์ LiDAR ได้สำเร็จ ผู้โจมตีจะต้องหลอกลวงโมเดลการเรียนรู้ของเครื่องด้วย งานที่ทำในห้องปฏิบัติการวิจัย OpenAI แสดงให้เห็นว่าโมเดลการเรียนรู้ของเครื่องมีความเสี่ยงต่อสัญญาณหรืออินพุตที่สร้างขึ้นมาเป็นพิเศษ ซึ่งเรียกว่าตัวอย่างที่เป็นปฏิปักษ์ ตัวอย่างเช่น สติกเกอร์ที่สร้างขึ้นเป็นพิเศษบนป้ายจราจรสามารถหลอกการรับรู้ทางกล้องได้
เราพบว่าผู้โจมตีสามารถใช้เทคนิค
ที่คล้ายกันเพื่อสร้างการรบกวนที่ทำงานกับ LiDAR ได้ พวกเขาจะไม่เป็นสติกเกอร์ที่มองเห็นได้ แต่สัญญาณปลอมที่สร้างขึ้นเป็นพิเศษเพื่อหลอกโมเดลการเรียนรู้ของเครื่องให้คิดว่ามีสิ่งกีดขวางอยู่โดยที่จริงแล้วไม่มีเลย เซ็นเซอร์ LiDAR จะป้อนสัญญาณปลอมของแฮ็กเกอร์ไปยังโมเดลการเรียนรู้ของเครื่อง ซึ่งจะรับรู้ว่าเป็นอุปสรรค
ตัวอย่างที่เป็นปฏิปักษ์ – วัตถุปลอม – สามารถสร้างขึ้นเพื่อตอบสนองความคาดหวังของโมเดลการเรียนรู้ของเครื่อง ตัวอย่างเช่น ผู้โจมตีอาจสร้างสัญญาณของรถบรรทุกที่ไม่เคลื่อนที่ จากนั้น เพื่อทำการโจมตี พวกเขาอาจตั้งไว้ที่สี่แยกหรือวางไว้บนยานพาหนะที่ขับอยู่ข้างหน้ายานพาหนะที่เป็นอิสระ
การโจมตีที่เป็นไปได้สองครั้ง
เพื่อแสดงการออกแบบการโจมตี เราได้เลือกระบบขับขี่อัตโนมัติที่ผู้ผลิตรถยนต์หลายรายใช้: Baidu Apollo ผลิตภัณฑ์นี้มีพันธมิตรมากกว่า 100 ราย และได้บรรลุข้อตกลงการผลิตจำนวนมากกับผู้ผลิตหลายราย รวมทั้งวอลโว่และฟอร์ด
ด้วยการใช้ข้อมูลเซ็นเซอร์ในโลกแห่งความเป็นจริงที่รวบรวมโดยทีม Baidu Apollo เราแสดงให้เห็นการโจมตีที่แตกต่างกันสองแบบ ในตอนแรก “การโจมตีเบรกฉุกเฉิน” เราแสดงให้เห็นว่าผู้โจมตีสามารถหยุดยานพาหนะที่กำลังเคลื่อนที่โดยทันทีโดยหลอกให้คิดว่ามีสิ่งกีดขวางปรากฏขึ้นในเส้นทางของมันได้อย่างไร ในครั้งที่สอง “การโจมตีด้วยการแช่แข็ง AV” เราใช้สิ่งกีดขวางที่ปลอมแปลงเพื่อหลอกยานพาหนะที่หยุดด้วยไฟสีแดงให้หยุดนิ่งหลังจากที่ไฟเปลี่ยนเป็นสีเขียว
โดยการใช้ประโยชน์จากจุดอ่อนของระบบการรับรู้การขับขี่อัตโนมัติ เราหวังว่าจะกระตุ้นการแจ้งเตือนสำหรับทีมที่สร้างเทคโนโลยีอัตโนมัติ การวิจัยเกี่ยวกับปัญหาด้านความปลอดภัยรูปแบบใหม่ในระบบขับขี่อัตโนมัติเพิ่งเริ่มต้น และเราหวังว่าจะค้นพบปัญหาที่เป็นไปได้มากกว่านี้ก่อนที่จะถูกผู้ไม่หวังดีใช้ประโยชน์ได้บนท้องถนนฝากถอนไม่มีขั้นต่ำ เว็บตรง
