3D打印盒子攻破百度Apollo系統(tǒng)，讓激光雷達看不見

來源：量子位

深度神經(jīng)網(wǎng)絡容易受到某些對抗樣本的攻擊，比如圖像分類網(wǎng)絡，只需在圖中加入一點微小的擾動，就能讓它把熊貓當成長臂猿。

如果把對抗攻擊用在自動駕駛汽車上，稍微修改一下路邊的交通標志，它就會犯錯。

上面所說的對抗攻擊都是針對二維圖像。那么用探測三維物體的激光雷達（LiDAR）就可以避免這個問題嗎？

來自密歇根大學、百度研究院、UIUC的研究人員發(fā)現(xiàn)，一些特殊的3D形狀也會令激光雷達受到對抗攻擊，讓它錯誤地把某些物體當做行人，甚至視而不見。

這項研究揭示了基于自動駕駛系統(tǒng)的潛在漏洞，并提出了一種LiDAR-Adv方法，生成可以在各種條件下逃避激光雷達檢測的對抗物體。

看不見的奇怪盒子

研究人員把兩種不同的盒子擺在路中央：

方形的快遞盒子，自然逃不過激光雷達的法眼，自動駕駛汽車可以成功識別并繞過它。

下面的是研究人員基于LiDAR-Adv用3D打印制造的盒子，在百度的Apollo無人駕駛平臺（V2.0）上進行測試，結果激光雷達會把它當做是行人。

在其他實驗中，激光雷達甚至無法檢測到75厘米大小的物體。

在Apollo平臺上進行的實驗證實了，不僅是理論上，現(xiàn)實世界中的激光雷達也確實存在著漏洞。有些奇形怪狀的盒子無法被激光雷達“看見”。

生成對抗樣本

盒子明明就在那里，為什么會被視而不見呢？激光雷達并不是直接生成物體的三維圖像，而是掃描空間中的點云（point cloud），將點云饋送到機器學習系統(tǒng)，從而還原出物體。

雖然我們知道激光雷達的工作原理，但是要生成對抗樣本并不容易。首先機器學習是一個黑盒系統(tǒng)，形狀的擾動如何影響掃描點云還不清楚；其次點云的預處理是不可微分的，無法使用基于梯度的優(yōu)化器。

研究人員提出的LiDAR-Adv解決了上述問題。他們模擬可微分的激光雷達渲染器，將3D對象的擾動連接到激光雷達掃描的點云；然后使用可微分的代理函數(shù)來制定3D特征聚合；最后設計不同的損失以確保生成3D對抗物體的平滑度。

在大小為50厘米的物體上，LiDAR-Adv可以達到71％的攻擊成功率，高于進化算法的黑盒攻擊，在更大尺寸的物體上也一樣。

另外LiDAR-Adv生成的對抗物體還可以改變標簽，讓激光雷達把某些物體誤檢測為行人。

LiDAR-Adv的實驗結果足以引起了人們對激光雷達系統(tǒng)安全性的擔憂，百度研究人員希望這項工作能夠揭示潛在的防御方法。