تصویر:LiDAR  به یک وسیله نقلیه خود ران کمک می‌کند تا آن چه را که در اطراف آن قرار دارد تجسم کند Yulong Can  با داده‌های  Baidu Apollo، CC BY-ND
 
هیچ چیز برای یک وسیله نقلیه خود ران مهم‌تر از آن نیست که حواسش به اتفاقات پیرامون خودش باشد. مانند رانندگان انسانی، وسایل نقلیه خود ران نیاز به توانایی تصمیم گیری فوری دارند.
 
امروزه اکثر وسایل نقلیه خود ران برای درک جهان به حسگرهای مختلفی تکیه دارند. اکثر سیستم‌ها از ترکیبی از دوربین‌ها، سنسورهای راداری و سنسورهای  LiDAR (light detection and ranging)(تشخیص نور و دامنه) استفاده می‌کنند. کارهایی که در آزمایشگاه تحقیق OpenAI انجام شده است نشان می‌دهد که مدل‌های یاد گیری ماشین در برابر سیگنال‌ها یا ورودی‌های دستکاری شده خاص آسیب پذیر هستند. در بورد، رایانه‌ها این داده‌ها را به هم متصل می‌کنند تا نمایی کاملی از اتفاقات اطراف خودرو ایجاد کنند. بدون این داده‌ها، وسایل نقلیه خود ران هیچ امیدی به حرکت ایمن در جهان ندارند. اتومبیل‌هایی که از سیستم‌های سنسور چندگانه استفاده می‌کنند هم بهتر کار می‌کنند و هم ایمن‌ترند - هر سیستم می تواند به عنوان یک چک کننده برای دیگر سیستم‌ها عمل کند - اما هیچ سیستمی از حمله در امان نیست.
 
متأسفانه، این سیستم‌ها ایمن از حماقت نیستند. سیستم‌های درک مبتنی بر دوربین را می‌توان با قرار دادن برچسب روی علائم راهنمایی و رانندگی به راحتی فریب داد تا معنای آنها به طور کامل تغییر یابد.
 
کار ما، از گروه تحقیقاتی RobustNet در دانشگاه میشیگان با دانشمند رایانه Qi Alfred Chen از UC Irvine و همکارانش از آزمایشگاهSPQR ، نشان داده است که سیستم درک مبتنی بر LiDAR نیز می‌تواند شامل این حماقت شود.
 
با فریب استراتژیک سیگنال‌های سنسورLiDAR ، این حمله قادر است سیستم درک مبتنی بر LiDAR خودرو را فریب دهد تا یک "مانع" که وجود ندارد را ببیند. در صورت بروز چنین اتفاقی، وسیله نقلیه می‌تواند با مسدود کردن ترافیک یا ترمز ناگهانی باعث تصادف شود.
 

سیگنال‌های  LiDARفریب دهنده

سیستم‌های درک مبتنی بر LiDAR دو مؤلفه دارند: سنسور و مدل یاد گیری ماشین که داده های سنسور را پردازش می‌کند. یک سنسور LiDAR با انتشار یک سیگنال نوری فاصله بین خود و محیط اطراف خود را با اندازه گیری مدتی که طول می‌کشد تا آن سیگنال از یک شیء خارج شود و به سنسور منعکس شود محاسبه می‌کند. این مدت زمان رفت و برگشت همچنین به عنوان "زمان پرواز" شناخته می‌شود.
 
یک واحد LiDAR ده‌ها هزار سیگنال نوری در ثانیه ارسال می‌کند. سپس مدل یاد گیری ماشینِ آن، از پالس‌های برگشتی برای ترسیم تصویری از جهان اطراف وسیله نقلیه استفاده می‌کند. این شبیه روشی است که یک خفاش از موقیت یابی صوتی (echolocation) استفاده می‌کند تا بداند موانع در شب کجاست.
 
مشکل این است که این پالس‌ها می توانند از بین بروند. برای فریب سنسور، یک مهاجم می‌تواند سیگنال نوری خود را به حسگر بتاباند. این تمام چیزی است که شما نیاز دارید تا سنسور را گیج کنید.
 
با این حال، فریب دادن سنسور LiDAR برای "دیدن" "وسیله نقلیه‌ای" که وجود ندارد دشوارتر است. برای موفقیت در این امر، مهاجم باید دقیقاً سیگنال‌های شلیک شده بهLiDAR  قربانی را زمان بندی کند. این امر باید در سطح نانو ثانیه انجام شود، زیرا سیگنالها با سرعت نور حرکت می‌کنند. هنگامی که LiDAR محاسبه فاصله را با استفاده از زمان اندازه گیری پرواز انجام می‌دهد، اختلافات کوچک مشخص می‌شود.
 
اگر یک مهاجم با موفقیت سنسور LiDAR را فریب دهد، باید سپس مدل یاد گیری ماشین را هم فریب دهد. کارهایی که در آزمایشگاه تحقیق OpenAI انجام شده است نشان می‌دهد که مدل‌های یاد گیری ماشین در برابر سیگنال‌ها یا ورودی‌های دستکاری شده خاص آسیب پذیر هستند – آن چه به عنوان مثال‌های نقض شناخته می‌شوند. به عنوان مثال، برچسب‌های مخصوص تولید شده روی علائم راهنمایی و رانندگی می‌توانند درک مبتنی بر دوربین را فریب دهند.
 
ما دریافتیم که یک مهاجم می‌تواند از یک تکنیک مشابه برای پیشبرد آشفتگی‌هایی که علیه LiDAR کار می‌کنند استفاده کند. آنها یک برچسب قابل رؤیت نخواهند بود، بلکه سیگنال‌های فریب دهنده‌ای هستند که به ویژه برای فریب مدل یاد گیری ماشین خلق شده‌اند که فکر کند موانعی وجود دارد در حالی که وجود ندارد. سنسور LiDAR سیگنال‌های جعلی هکر را به مدل یاد گیری ماشین تغذیه می کند، که آنها را به عنوان یک مانع تشخیص می‌دهد.
 
مثال نقض – یا شیء جعلی – می‌تواند برای پاسخگویی به انتظارات مدل یاد گیری ماشین ساخته شود. به عنوان مثال، ممکن است مهاجم سیگنال کامیونی را که حرکت نمی‌کند ایجاد کند. سپس، برای انجام حمله، می‌توانند آن را در تقاطع مستقر کنند یا آن را روی وسیله نقلیه‌ای قرار دهند که جلوی وسیله نقلیه خود ران رانده می‌شود.
 

دو حمله احتمالی

برای نشان دادن حمله طراحی شده، ما یک سیستم رانندگی خود ران را انتخاب کردیم که مورد استفاده بسیاری از خودرو سازان قرار گرفته است: بایدو آپولو. این محصول بیش از 100 شریک دارد و با تولیدکنندگان متعددی از جمله ولوو و فورد به توافق تولید انبوه رسیده است.
 
با استفاده از داده‌های سنسور دنیای واقعی جمع آوری شده توسط تیم بایدو آپولو، ما دو حمله متفاوت را نشان دادیم. یک واحد LiDAR ده‌ها هزار سیگنال نوری در ثانیه ارسال می‌کند. سپس مدل یاد گیری ماشینِ آن، از پالس‌های برگشتی برای ترسیم تصویری از جهان اطراف وسیله نقلیه استفاده می‌کند. در وهله اول، "حمله ترمز اضطراری"، ما نشان دادیم که چگونه یک مهاجم می‌تواند با فریب دادن آن با به فکر انداختن آن برای وجود یک مانع در مسیرش، ناگهان وسیله نقلیه را متوقف کند. در مرحله دوم، "حمله فریز کننده AV"، از یک مانع فریبنده استفاده کردیم تا وسیله نقلیه‌ای که پشت چراغ قرمز متوقف شده بود را فریب دهیم تا بعد از روشن شدن چراغ سبز همچنان متوقف بماند.
 
امیدواریم که بهره گیری از آگاهی از آسیب پذیری‌های سیستم‌های درک خودکار رانندگی، زنگ خطر را برای تیم‌هایی که فن آوری‌های خود ران دارند به صدا در آورد. تحقیقات در مورد انواع جدیدی از مشکلات امنیتی در سیستم‌های رانندگی خود ران تازه آغاز شده است، و ما امیدواریم که پیش از بهره برداری از بازیگران احتمالاً بد، مشکلات احتمالی بیشتری را کشف کنیم.
 
منبع: یولانگ کائو، زِد مورلی مائو - University of Michigan