据汽车新闻网站Autoblog报道称，通过对交通标识进行微小改动，比如涂鸦或者粘贴标签等，一批美国高校研究人员发现他们可以愚弄汽车的图像识别系统，并能够成功入侵汽车的自动驾驶系统。

华盛顿大学、密歇根大学、石溪大学（Stony Brook University）以及加州大学伯克利分校的研究人员最近发现了侵入自动驾驶汽车非常简单的方法，只需要通过标签对交通标识做简单处理，研究人员便成功入侵了汽车的自动驾驶系统。

据了解，研究人员首先分析了自动驾驶汽车视觉系统的运算法则，从而得出系统进行图像识别的方法。之后，研究人员对交通标识进行了简单更改，愚弄了系统的机器学习模式，从而使自动驾驶汽车误读交通标志；比如，研究人员在交通标示上贴上标签之后，自动驾驶汽车的视觉识别系统会将一个“停止”标识误读成“限速45英里／小时”。如果这种情况在真实世界中发生，这将会导致极为可怕的后果。

在一篇名为《对机器学习模式的粗野物理世界攻击》（Robust Physical World Attacks on Machine Learning Models）的论文中，在仅使用一台彩色打印机以及一个摄像头的情况下，文章作者们便展示了4种可以干扰机器学习以及交通标示读取的不同方式。而这批实验中最困扰研究人员的一个问题则是，通过涂鸦、艺术方式改变交通标示，或者融入交通标示的形象设计，交通标示的这些改变对人眼来说是不易觉察的。

研究人员所采用的第一种方法则是，打印一款同等规格的“停止”标识，并覆盖原先的交通标示。打印后的标示看起来很正常，但是对人眼来说，部分位置可能有褪色的迹象。而在实验中，即便从不同的角度以及距离进行判断，机器学习每次都将“停止”标识当作限速标识。第二种测试方法则是在“停止”标识上贴上了“爱情love”与“憎恶hate”的涂鸦标签之后，三分之二的测试次数之中，该标识被误读称限速标识，还有一次被误读成让路标识。

第三种测试方式则使用“抽象艺术”的方式，即增加几个小的、放在特定位置的标签对自动驾驶系统进行攻击，结果与使用打印版“停止”标识一样，机器学习每次都将“停止”标识当作限速标识。第四种测试则是对“右转标识”进行了更改，研究人员使用了灰色标签掩饰了转向尖头，在所有测试之中，有三分之二的测试将该标识误读为“停止”，剩余三分之一则将之误读为“附加车道”。

研究人员指出，要想成功袭击自动驾驶系统，黑客们首先需要了解汽车视觉系统的运算法则，或者根据系统的反馈信息粗略判断系统的视觉识别模式。在了解这些之后，黑客们就会发现如何愚弄自动驾驶系统，而且他们只需要一个目标交通标识的图像、一台彩色打印机、一些粘贴纸，他们便会引发可怕的后果，导致某些人在“停止”标识前，继续以45英里/小时的速度超速运行。

自动驾驶初创公司Voyage高级研究科学家塔里克·埃尔·噶礼（Tarek El-Gaaly）则向《人车志》杂志表示称，其实这种攻击的解决方案非常简单，只需要将这些情况融入到自动驾驶系统之中即可。情境则是一种解决方案，比如，根据汽车所处位置，一辆汽车的自动驾驶系统便能够识别是否其误读了交通标识；再者，系统会意识到，在城市区域它不应该按照高速公路模式驾驶。此外，噶礼指出，当前许多自动驾驶汽车都配置了多个传感器，因此使用多个摄像头以及激光雷达传感器，系统可以建立完善的失效保护机制。（文章来源：车友号 车云网）