据MIT Technology Review报道,在无人驾驶卡车和出租车上路之前,制造商们需要解决一个比防撞和导航复杂得多的问题。这些车辆将不得不预见并抵御恶意攻击者的侵扰,这些人同时使用传统网络攻击手段和基于所谓“对抗性机器学习”的新式攻击方法。随着越来越多的人一致认为,无人驾驶汽车只需要几年时间就会出现在城市里(比如机器人出租车)和高速公路上,以缓解长途卡车司机的无聊感。然而,这种攻击风险在很大程度上却在铺天盖地的覆盖报道中被忽略。
这不禁让我想起了上世纪90年代早期推广电子邮件的大量文章,当时这种新兴电子通讯领域还未被垃圾邮件所充斥。那时,机器学习被看作是解决世界垃圾邮件问题的方案之一。事实上,今天的垃圾邮件问题在很大程度上已被解决,但我们花了几十年的时间才实现这个目标。
目前还没有黑客针对无人驾驶汽车发动袭击的报道。但具有讽刺意味的是,这的确是一个问题。在20世纪90年代,互联网初创公司开发了首批电子商务平台时,也没有恶意攻击者。在第一轮电子商务黑客袭击发生之后,比尔·盖茨(Bill Gates)给微软写了一份备忘录,要求公司认真对待安全问题。结果,如今的Windows成为世界上最安全的操作系统之一,微软每年在网络安全上的花费超过10亿美元。尽管如此,黑客还是不断发现Windows操作系统、网络浏览器和应用程序的漏洞。
汽车公司很可能也会经历类似的过程。20世纪80年代设计的“CAN总线”(CAN bus)未能考虑安全性问题,这个失败让人们普遍感到尴尬,因为当时还没有验证的概念,现在他们似乎在关注此事。当黑客们证明,道路上的车辆很容易受到几个特定安全威胁的影响时,汽车制造商只能通过召回并升级数百万辆汽车的固件应对。去年7月份,通用汽车公司首席执行官玛丽?巴拉(Mary Barra)表示,保护汽车免受网络袭击的影响“事关公共安全”。
但迄今为止所做的努力可能正错过下一个安全趋势。无人驾驶汽车的开发依赖于复杂的机器学习算法,但计算机视觉和防撞系统却没有被很好地理解。去年,美国卡内基-梅隆大学的研究人员证明,使用一副透明的眼镜,并在镜框上印上时髦的图案,就可以击败最先进的人脸识别算法。
关于这个模式的某些东西以正确方式欺骗了算法,让其以为自己看到了不存在的东西。首席研究员马穆德·谢里夫(Mahmood Sharif)在电子邮件中称:“我们已经证明,通过模仿目标人物或简单的识别错误,攻击者都可以逃避基于神经网络开发的最先进人脸识别算法。”
2016年,美国南卡罗来纳大学、中国浙江大学以及中国网络安全公司奇虎360(Qihoo 360)的研究人员证明,他们可以在特斯拉S上干扰各种传感器,使其导航系统看不到物体。
最近许多关于无人驾驶的文章,甚至忽略了可能会有积极的、有适应能力的恶意竞争对手存在,他们可能试图让无人驾驶车辆发生重大事故。在接受《麻省理工技术评论》采访时,美国国家运输安全委员会(National Transportation Safety Board)主席克里斯托弗?哈特(Christopher Hart)表示,他“非常乐观”地认为,无人驾驶汽车将减少美国道路上的事故数量。而在讨论安全问题时,哈特把重点放在了让车辆进行道德决策的必要性上。例如,当重达36吨的卡车突然挡住汽车的路时,会发生什么?
为什么在明知会导致死亡的情况,依然有人想要攻击无人驾驶汽车?其中一个原因是,无人驾驶汽车的广泛部署将导致大量人员失业,其中有些人将会对此感到愤怒。2016年8月,福特公司首席执行官马克·菲尔兹(Mark Fields)表示,他计划在2021年之前在城市中推出全自动驾驶出租车。谷歌、日产和其他公司也计划最早于2020年前推出类似的无人驾驶汽车。这些无人驾驶的出租车或运载工具可能很容易被失业的卡车司机(或Uber司机)用高功率激光指示器弄得晕头转向。
当被问及如何应对竞争对手的机器学习威胁计划时,Uber发言人莎拉?阿伯德(Sarah Abboud)回应道:“我们的安全专家团队不断探索无人驾驶车辆的未来防御技术,包括数据完整性和滥用检测。然而,随着无人驾驶技术的发展,威胁模型也在进化,这意味着今天的一些安全问题可能与真正无人驾驶环境中所处理的问题有所不同。”
只需要几次意外事故,就能阻止无人驾驶汽车的部署。这可能不会妨碍先进的自动驾驶系统部署,但它很可能会对完全无人驾驶车辆的开发产生相当大的威慑作用。
责任编辑:黄焱林