一个小贴纸使特斯拉自动驾驶进入对面的车道

来自腾讯基恩安全实验室的研究人员发布了一份报告,详细描述了他们对特斯拉固件的成功攻击，包括对转向的远程控制，以及对自动驾驶仪的敌对示例攻击，该攻击使汽车混乱进入对面的车道。

研究人员使用了他们向特斯拉披露的攻击链,特斯拉现在声称已经用最近的补丁消除了这一攻击链。

为了实现远程转向攻击，研究人员不得不绕过几个冗余的保护层，但是在完成此操作后，他们能够编写-一个应用程序，让他们将视频游戏控制器连接到移动设备，然后引导目标车辆，覆盖汽车中的实际方向盘以及自动驾驶系统。这种攻击有一-些限制:虽然公园内的汽车或巡航控制中的高速行驶可以完全接管，但最近从R转移到D的汽车只能以高达8km/h的速度进行远程控制。

特斯拉汽车使用各种神经网络进行自动驾驶和其他功能(例如检测挡风玻璃上的雨水打开雨刷) ;研究人员能够使用的，主要是人类难以察觉的变化，导致机器学习系统产生严重的，不成比例的错误来攻击这些。

最引人注目的是，研究人员攻击了自动驾驶仪的车道检测系统。通过在车道标记上添加噪音,他们能够使自动驾驶仪完全失去车道，然而，他们必须应用于车道标记的补丁对于人类来说并不难发现。

更为严重的是,他们能够在地面.上使用“小贴纸”来实现“假车道攻击”，这种“假车道攻击”欺骗了自动驾驶仪转向相反的车道，迎面而来的车辆将会移动。即使目标车辆在白天运行时没有雪，灰尘或其他干扰，这也是有效的。

下面是腾讯基恩安全实验室的报告节选

使用恶意攻击者制作的一些补丁误导自动驾驶仪车辆向错误的方向，有时比使其无法识别车道更危险。我们在相机拍摄的照片中绘制了三个不起眼的小方块，视觉模块将其识别为具有高度置信度的通道，如下图所示......

在那之后我们尝试在物理上构建这样一个场景：我们在交叉点粘贴了一些小贴纸作为地面上的干扰贴片。我们希望使用这些补丁来指导特斯拉车辆在自动驾驶仪模式下驾驶到反向车道。如图34所示的测试场景显示，红色破折号是贴纸，车辆将其视为右侧车道的延续，并忽略交叉路口对面的真实左侧车道。当它行进到交叉路口的中间时，它将把真正的左车道作为其右车道并驶入反向车道。

特斯拉自动驾驶仪模块的车道识别功能在普通的外部环境中具有良好的稳健性（没有强光，雨，雪，沙和灰尘干扰），但在我们的测试场景中仍然无法正确处理这种情况。这种攻击部署简单，材料易于获取。正如我们在之前介绍的特斯拉车道识别功能中所说，特斯拉使用纯计算机视觉解决方案进行车道识别，我们在此攻击实验中发现车辆驾驶决策仅基于计算机视觉车道识别结果。我们的实验证明，这种结构具有安全隐患，反向车道识别是非封闭道路自动驾驶的必要功能之一。