給卡車穿上“隱身衣”，讓自動駕駛車輛撞上它！這場自動駕駛比賽，比誰攻得快

蕭簫 2020-10-10 12:36:19 來源：量子位

蕭簫 發(fā)自 凹非寺
量子位 報道 | 公眾號 QbitAI

自動駕駛算法，在這場比賽中成了實驗品：

24小時內(nèi)，不僅要在特定的場景中，讓它被攻破；還要在競速情況下盡力優(yōu)化它，讓車跑得更快。

如果這兩個方向均能脫穎而出，就能奪得第一名。

這是全球首個自動駕駛CTF?（Capture The Flag，意為奪旗賽，一種網(wǎng)絡(luò)安全領(lǐng)域的技術(shù)競技）的比賽方式，參賽者是來自各地的知名CTF戰(zhàn)隊。

在9月26~27號的24小時里，加州大學爾灣分校（UCI）的小隊ASGuard脫穎而出，以745分的成績一舉奪魁。

一起來看看， 比賽中都有哪些題目。

比賽題目長啥樣

這次比賽包含了多種和自動駕駛安全密切相關(guān)的題型， 既有Binary，Reversing等傳統(tǒng)CTF賽題，也有機器學習安全（AML）和自動駕駛算法（Mad Race）等全新賽題。

從下圖可見，題目難度不小，“懸賞分”最高的題目是GPS欺騙，就沒有一個小組在限定時間內(nèi)解出（累計得分0）。

部分題目具體的畫風，是下面這樣的：

到底是攻擊對手，還是讓自己跑更快？

如何在限定時間內(nèi)，超越所有小隊的賽車，并獲得競速賽第一名？

這是競賽題目Mad Race的規(guī)則：

要求參賽隊伍實現(xiàn)自動駕駛的路線規(guī)劃和控制算法，跟其他隊伍同場競技，最快完成比賽者得最高分。

然而，也許是舉辦方“有意為之”，這題背后還隱藏著一個邪惡的獲勝方法：題目允許攻擊其他車輛的漏洞。

所以，比賽的方式不止一種。畢竟如果將路上的其他車輛都攻破了，那么自己的車子就穩(wěn)操勝券了。

不過，獲勝團隊最后沒有選擇加入攻擊算法，而是集中全力提升了自己的路線規(guī)劃和控制算法，這也使得他們與第二名快速拉開了差距。

獲勝團隊表示，如果車輛優(yōu)化得夠好，攻擊算法就追不上它，其實也能成為一種取勝策略。

一張“貼紙”，讓卡車消失

除此之外，自動駕駛算法的避障也是一個重要的技術(shù)。

所以，盡力騙過自動駕駛算法，讓它撞上障礙物，其實也是一種檢測算法漏洞的方法。

在名為消失的卡車題目中，參賽者需要提交Patch（一個圖像塊），系統(tǒng)把這個Patch貼到卡車車廂，并同時讓自動駕駛車輛逐漸靠近卡車，要求這期間，不能有一幀檢測到卡車。

說白了，就是利用特殊生成的圖片，騙過目標識別算法。

不過，也沒有這么簡單，因為參賽者提交的Patch不僅需要欺騙連續(xù)多幀的目標檢測，而且還需要考慮車輛行進軌跡中的視角和距離變化、傳感器噪聲、圖像預處理等技術(shù)。

畢竟，誰也無法預測自動駕駛算法會在什么時候、被什么樣的圖像“欺騙”。

在這道題目中，冠軍團隊讓生成的Patch具有更高的魯棒性，最終成功騙過了自動駕駛算法。

欺騙GPS：全場最難的題目

從得分來看，全場唯一沒有小組解出的題目，就是這道GPS欺騙?（GPS Spoofing）了。

這道題屬于Binary攻擊類型（二進制漏洞攻擊），是全場分數(shù)最高的一道題目，但無人解出。

題目要求參賽者攻擊一個服務器端的GPS Spoofing檢測程序，從而獲得服務器中Flag文件的內(nèi)容。

這道題屬于傳統(tǒng)的CTF類型，它的難點在于，參賽者需要了解一種特定GPS數(shù)據(jù)的解析格式，并構(gòu)建虛假的GPS數(shù)據(jù)，來觸發(fā)和利用該漏洞。

因此，要解決這道題，除了傳統(tǒng)的Binary攻擊技術(shù)，還必須要有自動駕駛中GPS傳感器的知識和經(jīng)驗，大部分小組都被這一點難住了。

對于冠軍團隊來說，這次的遺憾應該在于沒能解出這道最難的題目。

“最后時刻，我們已經(jīng)能構(gòu)造需要的GPS數(shù)據(jù)格式、且找到了漏洞利用的注入點，無奈最后由于時間不足，未能完成，非?？上??！?/p>

為何舉辦自動駕駛CTF

拼盡全力攻破自動駕駛算法，究竟有什么意義？

或許大家還記得今年6月，開啟AutoPilot的特斯拉，撞上側(cè)翻白色貨車的事故：

高速路上，一輛貨車側(cè)翻在地，后續(xù)來車紛紛避讓。

但一輛白色特斯拉Model 3，以110公里的時速，直接撞向了如此明顯的貨車障礙物。

針對這一類自動駕駛的安全事故，這次的CTF定位與實際生活中自動駕駛展現(xiàn)的安全問題密切相關(guān)。

例如，那道利用對抗樣本生成能讓白色卡車“消失”的Patch，就是自動駕駛中障礙物識別的一項極大挑戰(zhàn)。

而賽題的場景，就是從特斯拉在高速上的安全事故取材的。

畢竟，只有知道了攻擊自動駕駛算法的方法，才能更好地優(yōu)化自動駕駛算法，讓車輛行駛更安全。

冠軍團隊介紹

這次比賽的冠軍團隊由6人組成，主要來自加州大學爾灣分校的ASGuard（Autonomous Sysems Guard）研究組，導師為Qi Alfred Chen，其中4名成員Junjie Shen、Takami Sato、Ningfei Wang和Ziwen Wan均為在讀博士生。

此外，還有一名來自清華大學的準一年級博士生Yunpeng Luo、以及目前在CMU就讀碩士、本科曾就讀于UCI的Zeyuan Chen。

而ASGuard研究組平時的研究方向，就是自動駕駛軟件安全。

ASGuard的組員也表示，參加這場比賽最大的獲勝點，是技能點、研究方向剛好覆蓋所有賽題類型。

因此，他們的團隊分工也非常明確，其中Junjie Shen，Ziwen Wan，Yunpeng Luo和Zeyuan Chen負責Binary、Reversing和Mad Race，而Takami Sato和Ningfei Wang則負責機器學習模型安全（AML）。

不過，這次的比賽對于冠軍組來說，也并非一帆風順。

可以看出，在最后的奪冠之前，團隊經(jīng)歷了相當長時間的無進展期，但在最后時刻一舉解出兩道題目，最終反敗為勝。