文章来源：新华网，版权归原作者及刊载媒体所有。

新华社北京11月2日电（记者彭茜）一辆正常行驶的自动驾驶汽车在30秒内径直蹭上了马路牙子，车载全球定位系统（GPS）、激光雷达等“高精尖”设备竟然全部失效。

这是美国加利福尼亚大学欧文分校研究团队构建的自动驾驶仿真环境测试研究的视频演示结果：一辆自动驾驶汽车的多传感器融合定位方案受到“GPS欺骗”手段攻击，造成车辆失控。这一安全漏洞为近年来加速推进自动驾驶商业化的厂商敲响了警钟。

“GPS欺骗”扰乱自动驾驶汽车

自动驾驶汽车的安全行驶既依靠对周边障碍物的感知，也依赖全球卫星导航系统对车辆在地图上进行厘米级定位，一旦定位错误，会直接导致自动驾驶汽车冲出路面或驶向错误方向，后果不堪设想。

“GPS欺骗”就是扰乱自动驾驶汽车定位的一种常见攻击手段，这类通过对搭载GPS传感器的终端发送虚假信号的攻击方式在智能手机、无人机、游艇、特斯拉汽车上都曾发生过。调查显示，2016年以来，仅在俄罗斯就发生过9883起“GPS欺骗”攻击事件，影响了1311个民用船只。

领衔该研究的加州大学欧文分校计算机科学博士生沈骏杰日前接受新华社记者采访时说，自动驾驶常用的多传感器融合定位方案某些情况下会出现“接管脆弱”，可使“GPS欺骗”完全控制其定位结果。

研究团队设计了一种被称为“融合撕裂者”的攻击方式，抓住接管漏洞出现的窗口期利用“GPS欺骗”发起攻击。结果显示，在2分钟内自动驾驶汽车有97%的几率偏离车道行驶，91%的几率行至逆向车道上。相关论文已发表在信息安全领域四大顶级会议之一的第29届“USENIX Security”会议上。

在这一仿真环境实验中，研究人员作为“白帽黑客”发起了攻击。沈骏杰说，现实中发起这类攻击的技术门槛并不高，攻击者只需拥有一辆自动驾驶汽车和“GPS欺骗”设备就可实施攻击。市场上一些低端的“GPS欺骗”设备只需200多美元就能买到。

现实中这一攻击的发起者会是谁？“一个可能的动机是出于商业竞争目的。发起‘融合撕裂者’攻击需要有一辆车跟随掌握被攻击车辆的实时位置，如果跟车就是一辆自动驾驶车，那么用激光雷达精确感知周围车辆位置就易如反掌，而自动驾驶企业正具备这一条件。”沈骏杰说。

他表示，如果被攻击车辆偏离路面或出现更严重后果，势必会给研发该车辆的厂商造成十分严重的公关危机，从而使攻击者获得竞争优势。此外也不能排除不法分子利用这一攻击手段进行恐怖袭击、蓄意谋杀等可能性。

技术普及需提防传感器安全漏洞

自动驾驶汽车需利用传感器感知周围环境、测距得到数据，并基于周围环境与数据做出路径规划，从而实现自动驾驶状态。具体而言，超声波传感器负责测短距，高清摄像头识别路标与车距，激光雷达生成三维地图，雷达测远距……如果攻击这些传感器，生成错误的输入源，就会干扰自动驾驶系统做出判断。

最新研究揭示的传感器安全漏洞引起多家自动驾驶企业重视。团队称，已联系了全球29家自动驾驶公司，就这一新攻击算法进行了交流。根据收到的回复，已有17家企业针对该问题展开调查，其中一家已着手研发防御和缓解手段。

据沈骏杰介绍，滴滴出行回复说将联系GPS传感器供应商，以确认是否会受“GPS欺骗”攻击影响；百度则称其商用版本的多传感器融合定位方案与实验所测试的开源版本不一样，最新工程实践已对相关问题完成优化，经内部测试发现可避免“GPS欺骗”发挥作用。

至于这类漏洞应如何防范，沈骏杰称团队正在做针对性防御研究。比如，通过独立的定位源交叉检查定位结果、减轻攻击是一个可行方向，其中一种方法是基于摄像头的车道检测。

“自动驾驶所有的驾驶决策都是从传感器输入开始的。确保传感器安全对于自动驾驶是非常大的挑战，除我们的文章外，还有其他文章证明激光雷达、雷达、摄像头等都可以被各种各样的‘传感器欺骗’手段影响，有些欺骗方式甚至可以导致自动驾驶汽车检测到一个原本不存在的物体。”沈骏杰说。

近年来，优步、特斯拉等都曾发生自动驾驶汽车因传感器误判或软件系统缺陷等发生事故。沈骏杰建议，可考虑出台统一的自动驾驶安全标准，并提供安全测试环境。中国已建成一些专门用于自动驾驶功能测试的场地，如果在这些场地内加入安全测试环节，如“传感器欺骗”测试等，就可以使路测标准更加规范化。

未来智能实验室的主要工作包括：建立AI智能系统智商评测体系，开展世界人工智能智商评测；开展互联网（城市）云脑研究计划，构建互联网（城市）云脑技术和企业图谱，为提升企业，行业与城市的智能水平服务。

  如果您对实验室的研究感兴趣，欢迎加入未来智能实验室线上平台。扫描以下二维码或点击本文左下角“阅读原文”