據 autoblog 網站報道,來自華盛頓大學、密歇根大學、石溪大學和加州大學伯克利分校的研究人員已經想出瞭一種愚弄自動駕駛汽車的圖像識別系統方法,通過在交通標志上添加標簽來入侵自動駕駛汽車。
他們先通過分析視覺系統應用的算法得到其圖像識別的方法,然後應用許多不同的攻擊方式來巧妙地改變交通標志,以誘騙機器學習模型進入誤讀狀態。例如,他們通過打印標簽成功誘騙一輛自動駕駛車輛上配備的視覺系統,使之將 45 英裡每小時的標志讀取為停車標志,這樣的後果在現實世界中顯然是非常糟糕的。
在 《對機器學習模式的強大物理世界攻擊》這篇論文中,作者論證瞭僅使用一臺彩色打印機與一部攝像頭機就能破壞機器讀取和分辨交通標志的四種不同的方式。這些實驗中使研究人員感到困惑的問題是,交通標志的改變從外觀上看都會迷惑人類的眼睛,不易察覺,它們或者偽裝成塗鴉等藝術,或者成為某種交通標志的意象。
第一種方法需要打印一個同等尺寸的停止標志來覆蓋原有的交通標志(可能是限速,也可能是轉彎),使之看起來很正常,但對人類而言某些地方可能有點褪色。在實驗中,無人駕駛汽車每次都把這一標志當作限速標志。
第二種方法,在原有的停止標志上帖上一些塗鴉標簽,結果無人駕駛汽車在三分之二的情況下都將該標志識讀為限速標志,甚至有一次讀成瞭讓路標志。
第三種方式,使用 " 抽象藝術 ",即在原有標志上帖上多個小的、放在特定位置的標簽,結果就和第一種方法一樣,無人駕駛汽車會把 " 停止 " 標志識讀為限速標志。
第四種方法,研究人員用灰色標簽遮住瞭右轉標志的箭頭,結果,在三分之二的情況下無人駕駛汽車把該標志誤讀為 " 停止 ",在三分之一的情況下把它誤讀為 " 附加車道 "。
研究人員指出,解決上述誤讀的方法並不難,隻需要在自動駕駛系統中加入類似情況的處理模式,讓其判斷自己是否誤讀瞭交通標志。此外,還可以借助車上配備的多個攝像頭和激光雷達傳感器,從而建立起保護機制。