L4自動運転の脆弱性: 認識アルゴリズムは人工の3D悪意のある障害物を回避できない可能性がある

最近、ある調査により、レベル4自動運転で使用されるマルチセンサーフュージョンベースの認識技術にセキュリティ上の脆弱性があることが判明しました。攻撃者は、3Dプリントされた悪意のある障害物を道路の真ん中に配置し、自動運転車のカメラとLiDAR機械学習検出モデルがそれを認識して直接衝突することを不可能にすることができます。

「カメラとLiDARの両方で不可視：物理世界攻撃下における自動運転におけるマルチセンサー融合ベースの認識のセキュリティ」と題されたこの研究は、4大コンピューターセキュリティカンファレンスの1つであるIEEE S&P 2021で正式に発表されました。研究チームはカリフォルニア大学アーバイン校（UCIrvine）のもので、自動運転とインテリジェント交通の研究を専門としています。

自動運転システムでは、周囲の環境をリアルタイムで認識することが、すべての重要な運転判断の最も基本的な前提条件です。現在、レベル4の自動運転システムは徐々に実用化されつつある。百度は北京、長沙、滄州で無人タクシーの大規模テストを開始し、ウェイモは米国フェニックスで安全運転手を必要としない完全自動運転タクシーのテストを開始した。

国際自動車技術協会は、自動運転を L1 から L5 までの 5 つのレベルに分類しています。L5 は完全自動化の最高レベルで、L4 は高度に自動化されており、機械がすべての操作を引き継ぎ、人間がすべてのシステム要求に応答する必要がありません。レベル 4 の自動運転に関するジョークがあります。レベル 5 とよく似ていますが、ユーザーマニュアルには長い免責事項のリストがあり、その中心にある考え方は、これは許可されていない、あれは許可されていないということです。

L4 自動運転システムでは、一般的にマルチセンサー融合設計が採用されており、LiDAR やカメラなどのさまざまな認識ソースを融合して、正確で堅牢な認識を実現します。

マルチセンサー融合アルゴリズムでは、すべてのセンシングソースが同時に攻撃されない、または同時に攻撃される可能性があるという前提があります。この基本的なセキュリティ設計の仮定は一般的に有効であるため、マルチセンサー融合は、既存の無人車両認識攻撃 (単一認識ソース攻撃) に対する効果的な防御戦略であると考えられることがよくあります。

カリフォルニア大学アーバイン校 (UCIrvine) の研究者らは、自動運転のためのマルチセンサー融合認識において、すべての認識ソースを同時に攻撃する可能性を実証しました。研究者らは、現実世界の認識プロセスでは、このマルチセンサー融合障害物認識に抜け穴があり、研究者らが設定した障害物をうまく検出できず、直接衝突してしまうことを発見した。

具体的には、3D 障害物のさまざまな形状によって、LiDAR ポイントクラウド内のポイント位置とカメラ画像内のピクセル値が同時に変化する可能性があるため、攻撃者は形状操作を悪用して、カメラと LiDAR の両方に入力の摂動を導入することができます。

[[408066]]

現実の道路上に現れる奇妙な形や損傷した物体は、研究者の物理世界攻撃ベクトルによってシミュレートできる。それは、操作可能な形状を持つ敵対的な3Dオブジェクトである。

この脆弱性の深刻度を評価するために、研究者らは、マルチセンサー融合に基づく無人車両認識アルゴリズムで上記の悪意のある 3D 障害物を自動的に生成できる MSF-ADV 攻撃を設計しました。研究者らのこの設計により、実生活での攻撃の有効性、堅牢性、隠蔽性、実現可能性が向上します。

研究者らはテスト用に 3 種類の障害物 (交通コーン、おもちゃの車、ベンチ) を選択し、実際の運転データに基づいて評価しました。彼らの結果によると、この攻撃はさまざまな障害物タイプとマルチセンサー融合アルゴリズムにわたって 91% 以上の成功率を達成しています。

現実世界での攻撃の実現可能性と深刻さを理解するために、研究者らは生成された悪意のある障害物を 3D プリントし、マルチセンサー融合認識を使用して実際の車で評価しました。

[[408067]]

3Dプリントされた悪意ある障害物

研究者らは、合計 108 個のセンサーフレームのうち 107 個 (99.1%) で、悪意のある障害物がマルチセンサーフュージョンによる検出をうまく回避できることを発見しました。研究者らは、小規模な実験環境で、ランダムにサンプリングされたさまざまな場所でのマルチセンサー融合認識による検出を回避する悪意のある障害物の成功率が 85 ～ 90% であること、またこの有効性が転用可能であることを発見しました。

研究者たちは、より実用的な防御方法は、さまざまな場所にカメラやLiDARなど、より多くの認識源を統合すること、またはレーダーの追加を検討することだと考えています。しかし、これは根本的にそれを防ぐことはできず、悪意のある攻撃をより困難にするだけです。

2021年5月18日時点で、研究者らは自動運転車の開発やテストを行う31社に脆弱性を報告しており、そのうち19社（約61％）が回答し、現在その影響や範囲を調査中であると述べています。

<<: 日常生活における人工知能の応用トップ 10

>>: バイリアン・スマートが2021 NIDIアジェンダ中国新小売・デジタルイノベーションサミットに出席

Amazon クラウドテクノロジーにより、Yidiantianxia は AIGC の波の中で新しいマーケティングパラダイムを構築できるようになりました。

ブログ

北京、上海、深セン、杭州、中国の人工知能産業のリーダーは誰でしょうか?

ブログ

TransformerがCNNバックボーンネットワークを活性化、HKUとTencentの視覚的自己教師あり表現学習CARE

ブログ

L4自動運転の脆弱性: 認識アルゴリズムは人工の3D悪意のある障害物を回避できない可能性がある

Amazon クラウドテクノロジーにより、Yidiantianxia は AIGC の波の中で新しいマーケティングパラダイムを構築できるようになりました。

Meta Princeton は LLM コンテキストの究極のソリューションを提案します。モデルを自律エージェントにして、コンテキストノードツリーを自ら読み取る

科学者らが病気の早期発見と治療のための埋め込み型人工知能システムを開発

マスク氏はマイクロソフトの論文をOpenAIを訴える根拠として利用した。「あなたたちはすでにAGIを認めている」

人工知能の未来とERPシステムの4つの新たな要件

推奨システムの結果の品質を評価する方法

北京、上海、深セン、杭州、中国の人工知能産業のリーダーは誰でしょうか?

TransformerがCNNバックボーンネットワークを活性化、HKUとTencentの視覚的自己教師あり表現学習CARE

推薦する

ジェネレーティブ AI: 職場の CIO にとって未知の要素

小さなターゲットを検出するためのディープラーニングの一般的な方法

プロンプトの可能性を探り、ChatGPT スキルを向上させましょう

一流の科学者はどうやって AI を習得するのでしょうか? DeepSpeed4Science: 高度な AI システム最適化技術を使用して科学的発見を可能にする

皇帝の側室選定と推薦アルゴリズムの仕組み

この記事では機械学習における3つの特徴選択手法を紹介します。

毎日のアルゴリズム: 文字の繰り返しのない最長の部分文字列

Nature のサブ出版物: 新しいアルゴリズムは、米国の 8 つの都市で 90% の精度で、1 週間前に 2 ブロック以内の犯罪を予測できます。

データセンターはリモートワークプレイスをどのようにサポートできるでしょうか?

指紋と顔は本当に生体認証を表現できるのでしょうか?

アコーディオン: HBase メモリ圧縮アルゴリズム

F1カーがハッキングされた、人工知能技術が救世主となるのか？

大規模モデルを低コストで便利に使用するには？ Amazon Web Services が生成型 AI を実現する方法