汽車廠商非常重視保護車載系統免遭黑客攻擊，但自動駕駛汽車仍存在其他被惡意擾亂的可能方式。華盛頓大學安全研究人員已經證明，他們只需在道路標志牌上粘貼普通打印機打印的圖像貼紙，就能讓計算機視覺系統在辨別道路標志牌時出現錯誤。當然，這些圖像并不普通，就是研究人員精心設計的攻擊方法，其能迷惑自動駕駛汽車最為依賴的攝像頭。

圖1（圖片來源：華盛頓大學）

在圖1示例的試驗中，研究人員將長方形的黑色和白色小貼紙粘貼在標準的停車標志牌上，導致計算機的視覺系統誤認為是“限速45”標志。這種攻擊在多個不同距離（最遠40英尺）和多種角度下都能成功。

圖2（圖片來源：華盛頓大學）

在圖2示例的實驗中，研究人員利用一種偽裝成涂鴉的攻擊，同樣讓計算機的視覺系統將停車標志牌誤認為“限速45”標志，成功率高達73.3%。

自動駕駛汽車的視覺系統通常都具有一個物體探測器(object detector) 和一個分類器(classifier)，前者能發現行人、燈光、標志牌和其他車輛等，后者能確定物體是什么以及標志牌上的內容。據華盛頓大學計算機安全研究人員Yoshi Kohno介紹，假設黑客能入侵分類器，就能根據其采用的算法，利用一張目標道路標志牌的照片來生成所需的特定圖像。如上述兩個試驗中所使用的圖像貼紙，就是根據“限速45”標志照片生成的特定圖像。

這種攻擊利用的是深度神經網絡(deepneural networks)的漏洞，此前相關研發人員一直在使用自動駕駛汽車攝像頭拍攝的圖像來訓練其辨認標志牌、信號燈和其他道路使用者。這類系統對惡意的微干擾（精確細微地更改輸入內容）非常敏感，這會導致它們出現意外的錯誤行為，并可能造成危險。

研究人員很早就了解到，更改計算機看到的內容可能會導致錯誤的結果。但此前涉及的攻擊內容不是過于極端（對人類駕駛者來說過于明顯），就是太過精巧（只能在某個角度或特定距離才能產生效果）。

圖3（圖片來源：華盛頓大學）

在圖3示例的實驗中，研究人員印制了一張大小與“右轉”標志相似的圖像，并將其覆蓋在了現有標志牌上。細微的差別就使該標志被錯誤地讀取為“限速 45”。對于肉眼來說，該示例中的圖像貼紙可能只是略帶污跡或有些褪色，但計算機視覺系統卻連續將其識別為“限速45”。

Kohno表示，“雖然警告標志看上去沒什么變化，但小小的篡改已經足以迷惑分類器。未來我們計劃在其他警告標志牌上采取有針對性的分類攻擊，繼續探究我們的猜想。”

這種攻擊的危險性顯而易見。很多測試使用的自動駕駛汽車和部分量產汽車，包括所有的特斯拉電動汽車，都已具備自動辨認道路標志牌的功能。如果未來的自動駕駛汽車蒙受欺騙，并對某一標志牌采取了錯誤的響應行為，就可能發生車輛直接沖過停車標志牌，或是在快車道上猛然剎車的情況。

自動駕駛初創公司Voyage高級研究專家Tarek El-Gaaly 表示，“這種攻擊勢必會引起自動駕駛汽車研發人員的擔憂。雖然它對于自動駕駛汽車系統的影響尚未在實際中得到核實，但隨著時間的推移和技術的不斷發展，也許能更加簡便地復制這種攻擊，并根據惡意的目的進行調整。”

Kohno認為，即使不同制造廠商采用的分類器具有顯著差異，黑客也依然能進行反向破解(reverse-engineer)。即使遇到無法入侵的型號，通過仔細研究車輛系統，攻擊者也通常能夠根據反饋內容找出一種類似的替代型號。各大汽車廠商都傾向于使用Mobileye等供應商開發的行業標準系統，包括對自動駕駛汽車技術進行開源的Comma.ai和百度。

那么，該如何應對這種攻擊呢？El-Gaaly 表示，汽車廠商未來必須將多種防御措施相結合來阻止黑客。利用地圖和感知的環境中的關聯信息，可以解決很多此類攻擊。例如，城市道路上出現“65英里/小時”標志牌或者公路上出現“停車”標志牌都不符合邏輯。此外，如今的許多自動駕駛汽車都配備有多個傳感器，可以利用多個攝像頭和激光雷達傳感器來設置故障保險。