人工智慧是自動駕駛汽車的關鍵技術。它用於決策、感測、預測建模和其他任務。但這些人工智慧系統有多容易受到攻擊呢？

布法羅大學正在進行的研究探討了這個問題，結果顯示惡意行為者可能會導致這些系統失敗。例如，透過策略性地將 3D 列印物體放置在車輛上，使其無法被偵測到，而人工智慧雷達系統可以使車輛隱形。

研究人員表示，這項工作是在受控研究環境中進行的，並不意味著現有的自動駕駛汽車不安全。儘管如此，它可能會對汽車、科技、保險和其他行業以及政府監管機構和政策制定者產生影響。

「雖然今天仍然新穎，自動駕駛車輛領導這項工作的紐約州立大學電腦科學與工程系傑出教授喬春明表示，「它們有望在不久的將來成為主要的交通方式。因此，我們需要確保為這些車輛提供動力的技術系統，尤其是人工智慧模型，可以免受對抗性行為的影響。這是我們布法羅大學正在努力研究的事情。

該研究在 2021 年的一系列論文中進行了描述，其中一項研究發表在2021 年 ACM SIGSAC 電腦與通訊安全 (CCS) 會議論文集。最近的例子包括從五月開始學習在第 30 屆行動運算與網路國際年會論文集（通常稱為 Mobicom），以及本月第 33 屆 USENIX 安全研討會上的另一項研究，可在arXiv。

毫米波偵測有效，但容易受到攻擊

在過去的三年裡，朱毅和喬團隊的其他成員一直在布法羅大學北校區對自動駕駛汽車進行測試。

朱博士完成了博士學位。今年 5 月獲得布法羅大學計算機科學與工程系博士學位，最近接受了韋恩州立大學的教職。作為網路安全專家，他是上述論文的主要作者，這些論文重點關注光達、雷達和攝影機以及將這些感測器融合在一起的系統的脆弱性。

「在自動駕駛領域，毫米波[毫米波]雷達已被廣泛用於物體檢測，因為它在雨、霧和照明條件較差的情況下比許多攝影機更可靠、更準確，」朱說。「但雷達可以透過數位方式和人為方式進行黑客攻擊。

在對該理論的一項此類測試中，研究人員使用 3D 列印機和金屬箔來製造特定幾何形狀的物體，他們稱之為「瓷磚掩模」。他們發現，透過在車輛上放置兩個瓷磚遮罩，可以誤導雷達偵測中的人工智慧模型，從而使該車輛從雷達中消失。

關於磁磚掩模的工作發表於2023 年 ACM SIGSAC 電腦與通訊安全會議論文集2023 年 11 月。

攻擊動機可能包括保險詐欺、AV競爭

朱指出，雖然人工智慧可以處理大量訊息，但如果沒有接受過處理訓練的特殊指令，它也可能會感到困惑並提供不正確的資訊。

「假設我們有一隻貓的照片，人工智慧可以正確識別這是一隻貓。但如果我們稍微改變圖像中的幾個像素，那麼人工智慧可能會認為這是一張狗的圖像，」朱說。「這是人工智慧的一個對抗性例子。近年來，研究人員發現或設計了許多針對不同人工智慧模型的對抗性例子。因此，我們問自己：是否有可能為以下領域的人工智慧模型設計範例：自動駕駛汽車？

研究人員指出，潛在的攻擊者可能會在駕駛開始行程、臨時停車或在紅綠燈前停車之前，偷偷地將敵對物體黏在車輛上。朱說，他們甚至可以將一個物體放在行人穿戴的東西中，例如背包，從而有效地消除對該行人的檢測。

此類攻擊的可能動機包括造成保險詐欺事故、之間的競爭自動駕駛公司或個人想要傷害另一輛車上的司機或乘客。

研究人員表示，值得注意的是，模擬攻擊假設攻擊者完全了解受害者車輛的雷達目標偵測系統。雖然獲得這些資訊是可能的，但在公眾中也不太可能獲得。

安全性落後於其他技術

朱說，大多數自動駕駛汽車安全技術都集中在車輛的內部部分，而很少有研究關注外部威脅。

「安全性有點落後於其他技術，」他說。

儘管研究人員已經研究了阻止此類攻擊的方法，但他們尚未找到明確的解決方案。

朱說：“我認為建立可靠的防禦還有很長的路要走。”“未來，我們不僅要研究雷達的安全性，還要研究攝影機和運動規劃等其他感測器的安全性。我們還希望開發一些防禦解決方案來減輕這些攻擊。”