3D打印攻破無人車激光雷達:這個奇怪的盒子它看不見
百度新研究,攻破Apollo。
曉查 發自 凹非寺
量子位 報道 | 公眾號 QbitAI
深度神經網絡容易受到某些對抗樣本的攻擊,比如圖像分類網絡,只需在圖中加入一點微小的擾動,就能讓它把熊貓當成長臂猿。
如果把對抗攻擊用在自動駕駛汽車上,稍微修改一下路邊的交通標志,它就會犯錯。
上面所說的對抗攻擊都是針對二維圖像。那么用探測三維物體的激光雷達(LiDAR)就可以避免這個問題嗎?
來自密歇根大學、百度研究院、UIUC的研究人員發現,一些特殊的3D形狀也會令激光雷達受到對抗攻擊,讓它錯誤地把某些物體當做行人,甚至視而不見。
這項研究揭示了基于自動駕駛系統的潛在漏洞,并提出了一種LiDAR-Adv方法,生成可以在各種條件下逃避激光雷達檢測的對抗物體。
看不見的奇怪盒子
研究人員把兩種不同的盒子擺在路中央:
方形的快遞盒子,自然逃不過激光雷達的法眼,自動駕駛汽車可以成功識別并繞過它。
下面的是研究人員基于LiDAR-Adv用3D打印制造的盒子,在百度的Apollo無人駕駛平臺(V2.0)上進行測試,結果激光雷達會把它當做是行人。
在其他實驗中,激光雷達甚至無法檢測到75厘米大小的物體。
在Apollo平臺上進行的實驗證實了,不僅是理論上,現實世界中的激光雷達也確實存在著漏洞。有些奇形怪狀的盒子無法被激光雷達“看見”。
生成對抗樣本
盒子明明就在那里,為什么會被視而不見呢?激光雷達并不是直接生成物體的三維圖像,而是掃描空間中的點云(point cloud),將點云饋送到機器學習系統,從而還原出物體。
雖然我們知道激光雷達的工作原理,但是要生成對抗樣本并不容易。首先機器學習是一個黑盒系統,形狀的擾動如何影響掃描點云還不清楚;其次點云的預處理是不可微分的,無法使用基于梯度的優化器。
研究人員提出的LiDAR-Adv解決了上述問題。他們模擬可微分的激光雷達渲染器,將3D對象的擾動連接到激光雷達掃描的點云;然后使用可微分的代理函數來制定3D特征聚合;最后設計不同的損失以確保生成3D對抗物體的平滑度。
在大小為50厘米的物體上,LiDAR-Adv可以達到71%的攻擊成功率,高于進化算法的黑盒攻擊,在更大尺寸的物體上也一樣。
另外LiDAR-Adv生成的對抗物體還可以改變標簽,讓激光雷達把某些物體誤檢測為行人。
LiDAR-Adv的實驗結果足以引起了人們對激光雷達系統安全性的擔憂,百度研究人員希望這項工作能夠揭示潛在的防御方法。
論文地址:
https://arxiv.org/abs/1907.05418
- 腦機接口走向現實,11張PPT看懂中國腦機接口產業現狀|量子位智庫2021-08-10
- 張朝陽開課手推E=mc2,李永樂現場狂做筆記2022-03-11
- 阿里數學競賽可以報名了!獎金增加到400萬元,題目面向大眾公開征集2022-03-14
- 英偉達遭黑客最后通牒:今天必須開源GPU驅動,否則公布1TB機密數據2022-03-05
