網路安全公司 McAfee 用一條約 5 公分的膠帶,成功騙過特斯拉汽車(Tesla)的輔助駕駛系統,讓車輛在自動駕駛時,在限速區域加速行駛。
對抗式攻擊
研究人員將一張黑色膠帶貼到速限標誌,騙過了特斯拉第一代配備的 Mobileye EyeQ3 攝影機系統,使其將速限判讀為 85 英里 而不是 35 英里,進而使時速增加 50 英里(約 80.5 公里)。
這項試驗由網路安全公司 McAfee 進行。該公司先進威脅研究團隊的史帝夫·波瓦尼(Steve Povolny)及習凡格·特列維帝(Shivangee Trivedi)表示,Mobileye EyeQ3 攝影機系統偵測速限標誌上的數字,並將該資訊輸入自動駕駛系統。而他們的試驗顯示「對抗式攻擊」(adversarial machine learning),讓機器學習模型判斷錯誤的輸入資料,可能會破壞自動駕駛系統,對希望將此技術商業化的人帶來安全性的挑戰。
愚弄機器學習系統
此研究結果顯示,機器學習系統可能會在攸關生死的情況下被攻擊。最近,這一系列的研究有增加的趨勢。例如加州大學柏克萊分校(UC Berkeley)在 2017 年的一項研究顯示,在停車號誌的特定位置貼上四張黑白貼紙,就能讓自駕車誤以為停車號誌是時速 45 英里的速限標誌。
波瓦尼表示:「我們進行此研究是因為在未來某個時間點,這些人工智慧系統會開始處理人類目前所做的任務。如果我們沒有事先察覺這類攻擊,並對系統設計更加謹慎,那我們等於就有一連串相互連結的電腦,而它們將是影響最大且最合適的攻擊平台。」
雙方論點
McAfee 證實已向特斯拉及 Mobileye 公司披露實驗結果。特斯拉已於 2016 年停止使用 Mobileye 系統,並表示不會修改第一代車款的硬體設備。Mobileye 的發言人則認為,就算人類也可能會誤判限速標誌。該公司不認為欺騙攝影機系統是一種攻擊,儘管該系統在特斯拉的巡航控制中扮演要角,但是該系統並非設計用於自動駕駛。
Mobileye 的發言人表示:「自駕車技術不會只依賴感測,也會藉由各種其他技術及資料來支援,例如群眾外包地圖(crowdsourced mapping),以確保從攝影機感測器接收資訊的可靠度,並提供更強大的安全性。」
特斯拉最新車款已使用專有攝影機,而 Mobileye EyeQ3 也更新其攝影機系統,這些新型攝影機在初始測試中不會受到此攻擊的影響。
不過波瓦尼提到,現在仍然有龐大數量的特斯拉汽車正使用這個脆弱的硬體設備。他指出特斯拉汽車第一版的硬體設備無法升級至較新的硬體設備。他也表示:「我們正努力做的是,試圖提高消費者及供應者對於各種可能出現各種缺陷的意識。我們不是在散播恐懼,並表示若是開這種車,它就會加速超出速限,也不是要讓這件事造成轟動。」
參考資料:
- O’Neill, P. H., (2020, February 19). Hackers can trick a Tesla into accelerating by 50 miles per hour. MIT Technology Review
- Eykholt, K., et al., (2017, July 27). Robust Physical-World Attacks on Deep Learning Models. arXiv.org