由于自动驾驶汽车依赖于互连的硬件、软件和通信系统,因此面临着若干安全风险。 三种主要的攻击向量包括传感器欺骗、基于网络的漏洞利用和对抗性机器学习攻击。 其中每一种都针对自动系统的关键组件,可能会危及安全性和功能。 了解这些漏洞对于致力于缓解措施的开发人员至关重要。
传感器欺骗和物理干扰 自动驾驶汽车依赖于 LiDAR、摄像头和雷达等传感器来感知周围环境。 攻击者可以操纵这些传感器以提供虚假数据。 例如,研究人员已经证明,投影激光脉冲(LiDAR 欺骗)可以创建幻影障碍物,或者通过使传感器过载来使车辆失明。 同样,在路标上放置对抗性贴纸会使基于摄像头的物体检测系统感到困惑,从而导致错误识别(例如,将停车标志解释为限速标志)。 即使是像向摄像头照射强光或使用射频干扰雷达等简单策略也会扰乱感知。 这些攻击利用了传感器的工作方式与其验证方式之间的差距——许多系统缺乏强大的机制来区分真实的外部环境输入与被操纵的输入。
网络和通信漏洞利用 自动驾驶汽车经常使用无线通信进行更新、车对基础设施 (V2I) 以及车对车 (V2V) 数据共享。 这些连接为攻击者创建了入口点。 受损的蜂窝或 Wi-Fi 模块可能允许远程代码执行,从而能够控制转向或制动等关键系统。 2021 年,研究人员通过利用第三方软件依赖项中的漏洞,演示了对特斯拉信息娱乐系统的中间人攻击。 此外,不安全的远程信息处理系统(例如,远程诊断)已被用于提取敏感数据或发送恶意命令。 即使是加密通道也并非免疫:重放攻击(其中有效的消息(例如,“紧急制动”)被捕获并在不适当的时间重新传输)也会破坏车辆行为。
对抗性机器学习和软件漏洞 用于对象检测或决策制定的机器学习 (ML) 模型容易受到对抗性输入的影响。 例如,微妙地修改输入图像(例如,添加人眼看不见的噪声模式)会导致 ML 模型错误分类行人和交通信号灯。 除了 ML 之外,自主堆栈中的传统软件漏洞(例如,感知算法中的内存损坏错误或不安全的 API 集成)也可能被利用。 2022 年,开源机器人框架 (ROS) 中的一个漏洞允许攻击者将虚假导航目标注入到自动系统中。 供应链风险也发挥着作用:受损的第三方库或硬件组件(例如,计算模块中被恶意更改的 GPU)可能会引入后门。 定期渗透测试、输入验证和安全编码实践是此处至关重要的防御措施。
开发人员必须通过分层安全方法来解决这些向量,例如传感器融合以交叉验证输入、严格的网络分段以及针对对抗场景对 ML 模型进行严格测试。 优先考虑这些缓解措施有助于减少自动系统的攻击面。