L4自動運転の脆弱性: 認識アルゴリズムは人工の3D悪意のある障害物を回避できない可能性がある

最近、ある調査により、レベル4自動運転で使用されるマルチセンサーフュージョンベースの認識技術にセキュリティ上の脆弱性があることが判明しました。攻撃者は、3Dプリントされた悪意のある障害物を道路の真ん中に配置し、自動運転車のカメラとLiDAR機械学習検出モデルがそれを認識して直接衝突することを不可能にすることができます。

「カメラとLiDARの両方で不可視：物理世界攻撃下における自動運転におけるマルチセンサー融合ベースの認識のセキュリティ」と題されたこの研究は、4大コンピューターセキュリティカンファレンスの1つであるIEEE S&P 2021で正式に発表されました。研究チームはカリフォルニア大学アーバイン校（UCIrvine）のもので、自動運転とインテリジェント交通の研究を専門としています。

自動運転システムでは、周囲の環境をリアルタイムで認識することが、すべての重要な運転判断の最も基本的な前提条件です。現在、レベル4の自動運転システムは徐々に実用化されつつある。百度は北京、長沙、滄州で無人タクシーの大規模テストを開始し、ウェイモは米国フェニックスで安全運転手を必要としない完全自動運転タクシーのテストを開始した。

国際自動車技術協会は、自動運転を L1 から L5 までの 5 つのレベルに分類しています。L5 は完全自動化の最高レベルで、L4 は高度に自動化されており、機械がすべての操作を引き継ぎ、人間がすべてのシステム要求に応答する必要がありません。レベル 4 の自動運転に関するジョークがあります。レベル 5 とよく似ていますが、ユーザーマニュアルには長い免責事項のリストがあり、その中心にある考え方は、これは許可されていない、あれは許可されていないということです。

L4 自動運転システムでは、一般的にマルチセンサー融合設計が採用されており、LiDAR やカメラなどのさまざまな認識ソースを融合して、正確で堅牢な認識を実現します。

マルチセンサー融合アルゴリズムでは、すべてのセンシングソースが同時に攻撃されない、または同時に攻撃される可能性があるという前提があります。この基本的なセキュリティ設計の仮定は一般的に有効であるため、マルチセンサー融合は、既存の無人車両認識攻撃 (単一認識ソース攻撃) に対する効果的な防御戦略であると考えられることがよくあります。

カリフォルニア大学アーバイン校 (UCIrvine) の研究者らは、自動運転のためのマルチセンサー融合認識において、すべての認識ソースを同時に攻撃する可能性を実証しました。研究者らは、現実世界の認識プロセスでは、このマルチセンサー融合障害物認識に抜け穴があり、研究者らが設定した障害物をうまく検出できず、直接衝突してしまうことを発見した。

具体的には、3D 障害物のさまざまな形状によって、LiDAR ポイントクラウド内のポイント位置とカメラ画像内のピクセル値が同時に変化する可能性があるため、攻撃者は形状操作を悪用して、カメラと LiDAR の両方に入力の摂動を導入することができます。

[[408066]]

現実の道路上に現れる奇妙な形や損傷した物体は、研究者の物理世界攻撃ベクトルによってシミュレートできる。それは、操作可能な形状を持つ敵対的な3Dオブジェクトである。

この脆弱性の深刻度を評価するために、研究者らは、マルチセンサー融合に基づく無人車両認識アルゴリズムで上記の悪意のある 3D 障害物を自動的に生成できる MSF-ADV 攻撃を設計しました。研究者らのこの設計により、実生活での攻撃の有効性、堅牢性、隠蔽性、実現可能性が向上します。

研究者らはテスト用に 3 種類の障害物 (交通コーン、おもちゃの車、ベンチ) を選択し、実際の運転データに基づいて評価しました。彼らの結果によると、この攻撃はさまざまな障害物タイプとマルチセンサー融合アルゴリズムにわたって 91% 以上の成功率を達成しています。

現実世界での攻撃の実現可能性と深刻さを理解するために、研究者らは生成された悪意のある障害物を 3D プリントし、マルチセンサー融合認識を使用して実際の車で評価しました。

[[408067]]

3Dプリントされた悪意ある障害物

研究者らは、合計 108 個のセンサーフレームのうち 107 個 (99.1%) で、悪意のある障害物がマルチセンサーフュージョンによる検出をうまく回避できることを発見しました。研究者らは、小規模な実験環境で、ランダムにサンプリングされたさまざまな場所でのマルチセンサー融合認識による検出を回避する悪意のある障害物の成功率が 85 ～ 90% であること、またこの有効性が転用可能であることを発見しました。

研究者たちは、より実用的な防御方法は、さまざまな場所にカメラやLiDARなど、より多くの認識源を統合すること、またはレーダーの追加を検討することだと考えています。しかし、これは根本的にそれを防ぐことはできず、悪意のある攻撃をより困難にするだけです。

2021年5月18日時点で、研究者らは自動運転車の開発やテストを行う31社に脆弱性を報告しており、そのうち19社（約61％）が回答し、現在その影響や範囲を調査中であると述べています。

<<: 日常生活における人工知能の応用トップ 10

>>: バイリアン・スマートが2021 NIDIアジェンダ中国新小売・デジタルイノベーションサミットに出席

ブログ

毎秒240万ゲームフレームを処理し、AIトレーニングコストを80％削減、GoogleがRL並列コンピューティングフレームワークをオープンソース化

L4自動運転の脆弱性: 認識アルゴリズムは人工の3D悪意のある障害物を回避できない可能性がある

図解機械学習: 誰でも理解できるアルゴリズムの原理

AIによって書かれたコードは「手書きのコード」よりもはるかに安全性が低い

5GとAIの相互影響

生成 AI への世界的な投資は 23 年間で 360 億ドルを超えました。開発者は、LLMアプリケーションが2024年に爆発的に増加すると予測している

AIと透明性：AIによる意思決定プロセスの重要性

毎秒240万ゲームフレームを処理し、AIトレーニングコストを80％削減、GoogleがRL並列コンピューティングフレームワークをオープンソース化

オプティマイザーを選択するにはどうすればいいですか?この記事では、さまざまなMLプロジェクトに適したオプティマイザーを選択する方法を説明します。

AIテクノロジーは法務サービスの未来をどのように変えるのでしょうか?

推薦する

アンビエントコンピューティングが次の大きなトレンドになる理由

人工知能は目覚めたのか？アマゾンの人工知能は人間の命令を聞かず不気味な笑い声を上げる

AI: 世界の終わりか、それとも新しい時代か?

インダストリー 5.0: スマートシティの未来を形作るテクノロジーのメガトレンドの融合

Google AI の 7 つの「型破りな」遊び方。どれも一日中遊べる

科学者は機械学習を利用して結晶構造の酸化状態の謎を解明する

人工知能の進化：過去、現在、そして未来

機械学習アルゴリズム入門: 線形モデルからニューラルネットワークまで

AI キャリアに移行する IT プロフェッショナルのための 8 つのヒント

Hacker News のホットな話題: 利用できるパッケージが非常に多いにもかかわらず、プログラマーは依然としてアルゴリズムを学ぶ必要があるのでしょうか?

Scikit-learn を使用して機械学習用のテキストデータを準備する方法

AIは40の言語を理解でき、15の言語で22の部門で1位を獲得しました。その背景には、中国チームの22年間の粘り強さがあります。