L4自动驾驶漏洞：感知算法可能无法避开人造3D恶意障碍物

近日，一项研究显示，L4自动驾驶使用的多传感器融合感知（Multi-Sensor Fusion based Perception）技术存在一个安全漏洞：攻击者可以在道路中间放置一个3D打印的恶意障碍物，使自动驾驶车辆的camera和LiDAR机器学习检测模型都识别不到，并直接撞上去。
此项研究题为《对摄像头和激光雷达都不可见:物理世界攻击下的基于多传感器融合的自动驾驶感知安全》（Invisible for both Camera and LiDAR: Security of Multi-Sensor Fusion based Perception in Autonomous Driving Under Physical-World Attacks），已正式发表在计算机安全四大顶会之一IEEES&P2021。该研究团队来自加州大学尔湾分校（UCIrvine），专攻自动驾驶和智能交通的研究。
在自动驾驶系统里，实时感知周围环境是所有重要驾驶决策的最基本前提。当前，L4自动驾驶系统逐渐商业化，百度已经在北京、长沙和沧州开始大规模测试无人驾驶出租车，Waymo已经开始在美国凤凰城测试不需要安全驾驶员的完全自动驾驶出租车。
国际自动机工程师学会将自动驾驶从L1到L5分成了五个等级，L5是最高级的全自动化，L4级则是高度自动化，由机器接管全部操作，人不需要对所有的系统请求做出回答。有个关于L4级自动驾驶的戏说：看起来很像L5，但用户手册写了一长串免责声明，核心思想是这也不行，那也不行。
L4自动驾驶系统普遍采用多传感器融合设计，即融合如激光雷达（LiDAR）和摄像头（camera）等不同的感知源，从而实现准确并且鲁棒的感知。
多传感器融合算法有一项前提，所有感知源不会同时都被攻击，或可以同时被攻击。这个基本的安全设计假设一般都是成立的，因此多传感器融合通常被认为是针对现有无人车感知攻击（单感知源攻击）的有效防御策略。
来自加州大学尔湾分校（UCIrvine）的研究者证明了同时攻击自动驾驶多传感器融合感知中所有感知源的可能性。他们发现，在现实世界识别过程中，这种多传感器融合的障碍物感知存在漏洞，会无法成功检测研究者设置的障碍物并直接撞上去的情况。
具体而言，3D障碍物的不同形状可以同时导致LiDAR点云中的点位置变化和camera图像中的像素值变化，因此攻击者可以利用形状操作，同时向camera和LiDAR引入输入扰动。