トラックに「透明マント」を装着し、自動運転車を衝突させる。これは誰がより早く攻撃できるかを競う競争だ

この記事はAI新メディアQuantum Bit（公開アカウントID：QbitAI）より許可を得て転載しています。転載の際は出典元にご連絡ください。

このコンテストでは、自動運転アルゴリズムがテスト対象となりました。

24 時間以内に、特定のシナリオを解読するだけでなく、レース状況で可能な限り最適化して、車をより速く走らせる必要があります。

どちらの方向でも目立つことができれば、1位を獲得できます。

これは世界初の自動運転CTF （Capture The Flag、ネットワークセキュリティ分野の技術競技）大会であり、出場者は世界各国の著名なCTFチームです。

9月26日から27日までの24時間で、カリフォルニア大学アーバイン校（UCI）のASGuardチームが優秀な成績を収め、745点を獲得して優勝しました。

コンテストにはどのようなトピックが含まれているか見てみましょう。

コンテストのタイトルはどのようなものですか?

このコンテストには、バイナリやリバースなどの従来のCTF問題だけでなく、機械学習セキュリティ（AML）や自動運転アルゴリズム（Mad Race）などの新しい問題など、自動運転の安全性に密接に関連するさまざまな問題タイプが含まれています。

下の図からわかるように、問題はかなり難しいです。最も「報酬スコア」が高い問題はGPS スプーフィングで、制限時間内に解けたグループはありませんでした（累積スコア 0）。

いくつかのトピックの具体的な絵画スタイルは次のとおりです。

相手を攻撃するべきか、それとももっと速く走るべきか？

限られた時間内に全チームの車を追い抜いてレース競争で1位を獲得するにはどうすればいいでしょうか?

Mad Raceコンテストのルールは次のとおりです。

参加チームは、自動運転のためのルート計画と制御アルゴリズムを実装し、他のチームと競争する必要があります。最も早く競技を完了したチームが最高得点を獲得します。

しかし、おそらく主催者は「故意に」それを行ったのでしょうが、この質問の背後には勝つための邪悪な方法が隠されています。この質問は、他の車両の脆弱性を攻撃することを許可するものです。

つまり、ゲームをプレイする方法は複数あります。結局のところ、道路上で他の車両に勝つことができれば、自分の車が確実に勝利するでしょう。

しかし、優勝チームは最終的に攻撃アルゴリズムを追加することを選択せず​​、代わりにルート計画と制御アルゴリズムの改善に全力を注ぎ、2位との差を急速に広げることができました。

優勝チームは、車両が十分に最適化されていれば、攻撃アルゴリズムはそれに追いつくことができず、それが実際に勝利の戦略になる可能性があると述べました。

「ステッカー」でトラックが消える

さらに、自動運転アルゴリズムの障害物回避も重要な技術です。

したがって、自動運転アルゴリズムをだまして障害物に衝突させることは、実際にはアルゴリズムの脆弱性を検出する方法となります。

「消えるトラック」というテーマでは、参加者はパッチ（画像ブロック）を提出する必要があります。システムはこのパッチをトラックのコンパートメントに貼り付け、自律走行車が徐々にトラックに近づくようにします。この間、どのフレームでもトラックは検出されません。

簡単に言えば、特別に生成された画像を使用して、ターゲット認識アルゴリズムを欺くことです。

しかし、それはそれほど単純ではありません。なぜなら、出場者が提出したパッチは、複数の連続したフレームでターゲットの検出を欺く必要があるだけでなく、車両の軌道における視点や距離の変化、センサーノイズ、画像の前処理などの技術も考慮する必要があるからです。

結局のところ、いつ、どのような画像が自動運転アルゴリズムを「欺く」のかは誰にも予測できない。

この問題では、優勝チームは生成されたパッチをより堅牢なものにし、最終的に自動運転アルゴリズムを騙すことに成功しました。

GPSスプーフィング：コンテスト全体で最も難しい問題

スコアから判断すると、どのグループも解けなかった唯一の問題はGPSスプーフィングの問題でした。

この問題はバイナリ攻撃タイプ（バイナリ脆弱性攻撃）に属し、テスト全体で最も高いスコアを獲得していますが、誰も解決していません。

このトピックでは、参加者はサーバー側の GPS スプーフィング検出プログラムを攻撃して、サーバー内のフラグ ファイルの内容を取得する必要があります。

この問題は、従来の CTF タイプに属します。難しさは、参加者が特定の GPS データの解析形式を理解し、脆弱性を誘発して悪用するために偽の GPS データを作成する必要があることにあります。

そのため、この問題を解決するには、従来のバイナリ攻撃手法に加えて、自動運転における GPS センサーに関する知識と経験も必要になります。ほとんどのチームはこれに困惑していました。

優勝チームにとって、今回の最大の後悔は、この最も難しい問題を解決できなかったことだ。

「最後の瞬間、必要な GPS データ形式を構築し、脆弱性を悪用するための注入ポイントを見つけることができましたが、残念ながら時間不足のため完了できませんでした。残念です。」

自動運転CTFを開催する理由は何ですか?

自動運転アルゴリズムを解読しようと一生懸命努力する意味は何でしょうか?

今年 6 月にオートパイロットがオンになったテスラが横転した白いトラックに衝突した事故を、皆さんはまだ覚えているかもしれません。

高速道路でトラックが横転し、後続車がそれを避けようとした。

しかし、白いテスラ モデル3が時速110キロで、そのような明らかなトラックの障害物に直撃したのです。

このような自動運転の安全事故に関して、このCTFの位置づけは、自動運転が現実世界でもたらす安全上の問題と密接に関係しています。

たとえば、敵対的サンプルを使用して「消える」白いトラックを生成するパッチは、自動運転における障害物認識において大きな課題です。

競技の場面は、高速道路で起きたテスラの安全事故から撮影された。

結局のところ、自動運転アルゴリズムを攻撃する方法を知ることによってのみ、それらをより最適化し、車両の運転をより安全にすることができます。

チャンピオンチーム紹介

この大会の優勝チームは、カリフォルニア大学アーバイン校のASGuard（Autonomous Sysems Guard）研究グループを中心に6名で構成されています。アドバイザーはQi Alfred Chen氏で、メンバーのうち4名、Junjie Shen氏、Takami Sato氏、Ningfei Wang氏、Ziwen Wan氏はいずれも博士課程の学生です。

さらに、清華大学の博士課程1年生であるYunpeng Luoさんと、現在CMUで修士課程に在籍し、UCIで学部を学んだZeyuan Chenさんがいます。

ASGuard 研究グループの通常の研究方向は、自動運転ソフトウェアのセキュリティです。

ASGuard チームのメンバーはまた、このコンテストでの最大の勝利点は、彼らのスキルと研究の方向性が、あらゆる種類のコンテストの問題を偶然にもカバーしていたことだと述べました。

そのため、チームの分担も非常に明確で、Junjie Shen、Ziwen Wan、Yunpeng Luo、Zeyuan Chen が Binary、Reversing、Mad Race を担当し、Takami Sato と Ningfei Wang が機械学習モデルのセキュリティ (AML) を担当しています。

しかし、この大会は優勝チームにとって順風満帆だったわけではない。

最終的な勝利の前に、チームは長い間進歩がない状態を経験しましたが、最後の瞬間に2つの問題を一挙に解決し、最終的に敗北を勝利に変えたことがわかります。