黑客竟轻松劫持自动驾驶汽车

来自华盛顿大学、密歇根大学、石溪大学和加州大学伯克利分校的研究人员已经想出了一种愚弄自动驾驶汽车的图像识别系统方法，通过在交通标志上添加标签来入侵自动驾驶汽车。

他们先通过分析视觉系统应用的算法得到其图像识别的方法，然后应用许多不同的攻击方式来巧妙地改变交通标志，以诱骗机器学习模型进入误读状态。例如，他们通过打印标签成功诱骗一辆自动驾驶车辆上配备的视觉系统，使之将45英里每小时的标志读取为停车标志，这样的后果在现实世界中显然是非常糟糕的。

在 《对机器学习模式的强大物理世界攻击》这篇论文中，作者论证了仅使用一台彩色打印机与一部摄像头机就能破坏机器读取和分辨交通标志的四种不同的方式。这些实验中使研究人员感到困惑的问题是，交通标志的改变从外观上看都会迷惑人类的眼睛，不易察觉，它们或者伪装成涂鸦等艺术，或者成为某种交通标志的意象。

第一种方法需要打印一个同等尺寸的停止标志来覆盖原有的交通标志（可能是限速，也可能是转弯），使之看起来很正常，但对人类而言某些地方可能有点褪色。在实验中，无人驾驶汽车每次都把这一标志当作限速标志。

第二种方法，在原有的停止标志上帖上一些涂鸦标签，结果无人驾驶汽车在三分之二的情况下都将该标志识读为限速标志，甚至有一次读成了让路标志。

第三种方式，使用“抽象艺术”，即在原有标志上帖上多个小的、放在特定位置的标签，结果就和第一种方法一样，无人驾驶汽车会把“停止”标志识读为限速标志。

第四种方法，研究人员用灰色标签遮住了右转标志的箭头，结果，在三分之二的情况下无人驾驶汽车把该标志误读为“停止”，在三分之一的情况下把它误读为“附加车道”。

研究人员指出，解决上述误读的方法并不难，只需要在自动驾驶系统中加入类似情况的处理模式，让其判断自己是否误读了交通标志。此外，还可以借助车上配备的多个摄像头和激光雷达传感器，从而建立起保护机制