黑客思維看自動駕駛：史上最詳細無人車攻擊指南

恭喜你，成功晉陞自動駕駛界的詹姆斯·邦德。

撰文 | 宇多田

「正因為我們的存在，世界才在前進。」

大言不慚說出這句話的，是上世紀 90 年代自稱為「黑暗但丁」的傳奇黑客 Kevin Poulsen。

這位在 23 歲就成功入侵太平洋貝爾電話公司內網，並多次侵入美國 FBI 計算機系統盜取數據的美國青年，曾被認為在很大程度上推動了互聯網通訊行業的發展。

攻擊，是為了更完備的防禦。這就是網路安全界深以為然的「攻防思維」。

與善於製造網路混亂的黑帽黑客相對應的，是歷史上無數白帽黑客一直在用自己的電腦技藝做著「善意的攻擊」——

他們探測網路中每一款軟體或系統的漏洞，動手改進機器並相信以此能改善整個世界。

例如，在 2011 年的全球黑帽安全大會 (Black Hat Security Conference）上，對 GSM 無線電話網路弱點有深入研究的安全研究員 Don Bailey 就現場演示了如何通過遠程劫持汽車報警系統來解鎖車門和改動引擎。

而這些實驗項目直接促使了後來汽車廠商加大了對搭建汽車安全控制系統的投入。

2016 年，一群來自騰訊科恩實驗室的白帽黑客正式對外宣布成功入侵特斯拉汽車 ModelS 系統。

他們並不需要對這輛車事先進行物理接觸，就能實現對剎車系統、轉向燈、座椅位置以及門鎖系統的控制。

雖然不知道這起入侵事件是否對特斯拉與白帽黑客後來更加緊密的合作有所貢獻，但 2019 年，特斯拉卻成了參加全球著名黑客大賽 Pwn2Own 的首個汽車製造商。

馬斯克當時還承諾，誰能破了 Model3 的安全系統，誰就把這輛車開走。

從根本上看，在某一網路設備及系統還不是很完善的情況下，漏洞的存在是顯而易見的；對於具備一定理解能力和好奇心的黑客們，想找到出這些程序設計上的漏洞完全不在話下。

因此，AI 技術的創新性與其在一系列產品上相對不成熟的應用，完美符合了以上兩個可供黑客發揮自己天才想像力的條件。

作為智能音箱鼻祖，亞馬遜的 Echo 一直都是黑客們拿來練手的標杆式 AI（物聯網）硬體。

在 2018 年 8 月世界頂級黑客大會 Defcon 上，白帽黑客團隊 Tencent Blade Team 就把一個被修改過部件的 Echo 變成了監聽器，進行遠程控制錄音。

而原理就是通過亞馬遜允許旗下多個設備互聯這一機制，將植入攻擊程序的「變質設備」綁定到同個賬戶下，實現對亞馬遜 Echo 智能音箱的破解。（當然，這些漏洞細節最終都提交給了亞馬遜團隊）。

以上都是「黑客式道德」送給我們的禮物，為多個產業帶來了巨大價值。

而一個由幾十個零部件組成的智能音箱尚且如此，那麼一輛自動駕駛汽車呢？

建立牢固的自動駕駛防禦機制，當然少不了黑客們的天才腦洞。

特別是「自動駕駛汽車的固件攻擊與軟體破解」，也在近幾年來頻繁出現在包括 Defcon 在內的世界頂級黑客大會議題中。

2018 年，在首次被百度安全引入中國後，這個被稱為黑客界奧斯卡的全球性活動就收到了來自中國白帽子界對自動駕駛議題的大量訴求。

今年，在對幾萬份議題進行幾輪公開投票後，一個名為「打造無人車金鐘罩」的主題演講便最終出現了 Defcon 北京黑客大會議程第一天的最佳時間段里。

講真，現場幾乎有一半開發者是沖著自動駕駛來的，其中有百度自身的原因（百度無人車應該沒人不知道吧），也有「攻擊無人車」這個自帶流量的熱點話題實在是不能被錯過。

畢竟，直到現在，國內都沒怎麼有人系統講過如何黑入一輛無人車，連基礎的方法論都沒有。

無人車對黑客們的吸引力，當然是百度最願意看到的，也是對百度極為有利的。

因為「逆向工程」對一件技術的開發研究極其重要，它可以幫助工程師從「動機」層面了解和分析一項技術，從而能更好地進行理解與防禦。

而如果以後更多白帽子參與到無人車逆向工程的實踐中，大概就相當於是在給百度無人車免費找問題。

不過，百度安全部門也一直在悄悄做關於自動駕駛的攻防測試，工程師們潛伏在現場，也希望能從現場的演講與討論中找到「靈感」。

作為這次自動駕駛破解議題的演講嘉賓，美國機器人專家 Zoz 早在 2004 年美國國防部啟動 Darpa 自動駕駛挑戰賽時就開始走上「破解無人車」的「不歸路」，分析和考察過大量無人車「車禍現場」。

譬如，他承認很多美國公司的車在路測初期真的非常慘不忍睹，根本不用黑。

「無人機，機器人以及無人車，這麼多機器上天入地，但是我都見過他們被黑客攻破和戲弄的狼狽時刻。」

但 Zoz 自己卻是一個不折不扣的機器人擁護者。他堅持認為，機器人革命已到來，已經沒有任何人可以阻止。

但之所以要全方位 360 度去尋找自動駕駛汽車身上可能存在的漏洞，是因為他不想在自動駕駛概念在人們心中根深蒂固後，再去後知後覺做一些無關痛癢的討論。

「我絕對不是在這裡傳播任何關於自動駕駛汽車的恐懼、不確定性和懷疑論。

但 DEFCON 本身不是一個探討安全的『寶寶會議』，它是一個最有范兒的黑客的聚集地。

因此，我們需要弄清楚事情是如何運作的。如果它們有什麼問題，那麼應該如何進行改進。

對我來說，這才是有意義有先導性的黑客行為。」

有趣的是，Zoz 把「尋找自動駕駛汽車漏洞並干擾其正常運作的過程」比作是對自動駕駛汽車一種「艱難的愛」，就像用澳大利亞人的方式學游泳一樣：

「把他們扔在水池裡，然後放鱷魚。」

白帽子們在現場破解硬體

1 無人車攻擊的邏輯結構

自動駕駛汽車給黑客帶來靈感要追溯到 2004 年美國國防部高級研究計劃局發起的第一屆自動駕駛沙漠挑戰賽。

當時被寄予厚望的卡內基梅隆大學（CMU）團隊，其組裝汽車僅僅在跑了大約 7 英里後就在一個急轉彎時衝出了跑道，而發動機隨後燃起的熊熊大火也宣告了這支隊伍的徹底失敗。

「他們有一個龐大的團隊，而且把路線規劃地十分精確。」Zoz 曾跟這個團隊有過深入交流，

「有工程師專門帶著 GPS 接收器走了這條路，所以他們地圖做的很棒，無人車幾乎可以憑藉地圖數據就能走完這條路。

但他們最大的問題，就是過於關注其他感測器給系統傳回的數據。

假如他們忽略激光測距儀的結果，那麼他們就能順利通過。」

CMU 的參賽車 Sandstorm

而 Zoz 講述這個故事的寓意就是，正確利用現有信息進行整個狀態的預估，是無人車做所有不確定性決策的關鍵。

這意味著機器人需要不停地判斷和決定自己「最了解」什麼，哪些信息是可靠的，哪些信息是不可靠的。

這是一個「求和」的過程。

因此，如果黑客改變或破壞了求和過程的其中一環，那麼他們成功的機會就會變大很多。

現在，讓我們來分層次看一下整個破解自動駕駛汽車的邏輯結構。

就像人類一樣，我們可以把機器人的行為邏輯進行分層。機器人底層有自己的控制迴路用以保持自身穩定，這些東西通常以高循環率在某一個獨立系統上運行。

自下而上分別是控制迴路、防撞、導航與定位、任務規劃及決策

譬如有時我們會看到，一個完全崩潰的機器人並不是躺倒在那裡，而是在水中或在空氣中保持著完美的穩定性，或者是在那裡左右旋轉，甚至仍然帶有「防撞」意識，這就是對機器人設立的一種基礎保護機制。

因此，底層控制「優於一切」，在此基礎上才是避障、導航和定位（這些可能就是一個機器人或一輛低級別無人車的全部任務），而再高層級的就是任務規劃一類的「行為」了。

那麼我們能從這種層級中獲知到什麼呢？

首先，這裡存在一種隱形依賴關係——

當你在這個等級體系中對低層級模塊進行攻擊，那麼你就可以擊潰它上面的層級。

當然，很多工程師把大量時間用來加固低級別層級，所以這一層級儘管可能是更多黑客的攻擊目標，但也意味著有更好的防禦牆，更難發現 bug。

以救生無人機為例，其安裝的自動駕駛儀承擔了所有穩定性維護，也有著適用於不同飛行環境條件的低水平控制循環系統。

然而，在此基礎上的避障和導航功能，卻相對脆弱。

因為在很大程度上，高層次的設置邏輯依賴於一個單一的感測器——GPS。

一旦 GPS 發生問題，整個系統會發生問題。

而外賣披薩機器人更是需要各種各樣的控制系統來保持穩定，譬如當披薩被移走重心發生變化時，它需要根據重心轉移而調整平衡並防止碰撞。

對於這種機器人，可以從其模態轉換入手。

「機器人通常都存在某種形式的狀態機（能夠根據控制信號按照預先設定的狀態進行狀態轉移，是協調相關信號動作、完成特定操作的控制中心）代表著任務與設計師對其的設想。

所以它們總是認為自己處於一種狀態或者轉化到一個新的狀態。

這些狀態機定義了機器人在任何給定時間運行的邏輯。它們對應於任務，而任務和狀態的轉換可能是一種攻擊被觸發的開關。」Zoz 表示。

但是，這些機器的狀態機不一定是具有確定性的。

對於數學專業的人來說，Zoz 覺得這看起來可能像一個馬爾可夫鏈（指概率論和數理統計中具有馬爾可夫性質且存在於離散的指數和狀態空間內的隨機過程）。

而這個特點的確廣泛存在於機器人控制系統中。

「很多時候我們認為我們處於一種狀態，但並不意味著我們真的在那裡。所以機器人有一個隱藏狀態，我們不一定必須要觀察到，但是我們必須弄清楚，這就是攻擊變得棘手的地方。」

在控制和避障的上層，機器人則需要通過即時定位與地圖構建預先生成地圖，然後按照地圖進行路線規劃和導航，這裡就是區別躲避靜態障礙與動態障礙的地方。

而更上面的層級對應的任務則較為簡單，就是讓每一張顧客的信用卡對應一份正確的披薩。

可以看出，相對薄弱的一層是機器人的定位導航層，需要做多種狀態及任務切換，因此很容易受到「重定向」、「設立陷阱」以及「地圖混淆」等方法的攻擊。而方法的初衷就是「讓機器人暫時搞不清楚自己到底在哪裡」。

值得注意的是，定位與地圖構建一定會需要的感測器參與。因此，這一層的脆弱點顯而易見——

感測器，是黑客進行攻擊的關鍵突破點之一。

感測器的攻擊法則

自動駕駛汽車上的感測器，的確是最具可能性的入侵通道之一。

Zoz 認為，像 GPS、攝像頭、激光雷達、毫米波雷達、慣導（IMU）、視覺羅盤、車輪編碼器等常見感測器裝置，都可以被干擾進而影響自動駕駛的行駛軌道與判斷機制。

「還有一些特殊交通工具，譬如潛艇用的多普勒測速儀、掃描聲納以及空氣壓力熔斷器，其實都有被攻擊的可能性。」但Zoz並沒有提及這些儀器的攻擊方式。

「每個感測器都會有一定的噪點。這是接觸硬體的自動駕駛工程師都會頭痛的問題。」

其中，GPS 的「漂移」問題存在已久：

隨著時間延遲與更新速率發生變化，汽車定位與實際位置有較大差距，在運動中會出現與實際路線有一定間隔的連續軌跡。

以依賴 GPS 的救援無人機為例，假如 GPS 有一個更新，那麼在漂移情況下就意味著「時間戳」是未知的，因此飛行器的位置估計，可能是在 70 米範圍的任何一個地方，很難做到精確到 5 米內的準確投遞。

「你必須在各種假設下對這些不確定性進行建模。需要知道感測器基本的雜訊模型是什麼。

很多人不使用 GPS 是因為他們覺得無法從獨立單元中得到 GPS 的噪音模型，或者說他們無法建立一個超級可靠的噪音模型。」

這是一個民用 GPS 定位器靜止了一晚，出現的漂移現象

因此，這也是為何當下針對感測器融合得出了較為一致的結論——融合在一起可能比單個感測器更有用。

是的，在很多情況下都是這樣。

但是當感測器發出否定信號時無人車會怎麼做？信任哪一個模塊，信任多少？

Zoz認為，無論裝多少感測器，都不能給出一幅描繪世界完美圖像，只能給出最好的猜測。

而自動駕駛汽車的魯棒性最終可能取決於它面對一個失效感測器的表現有多聰明，即使它可能有一整套感測器。

所以，這就是黑客攻擊的一個切入點——欺騙感測器，讓它提供錯誤信息。

Zoz 列舉了兩大類感測器攻擊的基本方法——」拒絕」與「欺騙」。

「拒絕」，指的是阻止感測器還原任何有用的數據；

「欺騙」，則指讓感測器採集到攻擊者希望的錯誤信息。

譬如，你可以直接攻擊感測器，讓他們辨別不了即時性不良數據，或者是試著干擾他們長期積累的聚合數據。

GPS

GPS（全球定位系統）被黑客青睞的歷史由來已久。

你可以在網站上很容易就買到一個干擾發射機，而它可以讓 GPS 的頻率產生很大的噪音，同時讓衛星信號變弱。

當然，你也可以惡搞一下它們。譬如生成比衛星本身更高功率的偽 GPS 信號來覆蓋接收器。

目前，在無人機身上已經驗證了這一方法。德克薩斯大學奧斯汀分校就曾嘗試過通過改變 GPS 信號來控制無人機。

2012 年 6 月，由 Todd Humphreys 教授領導的奧斯汀無線電導航實驗室曾首次成功演示了一架民用無人機在飛行途中被民用 GPS 劫持。

從視頻中可以看到，左邊的攻擊者正在發射一個功率更高的 GPS 信號。

首先，你要做的是對準無人機真正接收到的 GPS 信號，用跟蹤器匹配三個點坐標，擠入信號流並找到峰值，替換成自己的偽GPS信號。

（這就像是「杜鵑把別家鳥窩裡的蛋弄走，換上自己的蛋」，都是一個思路）

然後，你就可以開始移動你的信號了，記住要讓無人機對跟蹤點保持跟隨。

現在，讓無人機相信它在一個它並不在的位置上，而它的飛行控制系統會根據錯誤的位置來進行糾正。

譬如，奧斯汀無線電導航實驗室通過 GPS 讓無人機相信自己在以一定的速度向上移動。然後飛行控制系統接到錯誤信息後，會嘗試修正位置讓直升機向下飛。

最後無人機就直接開到了地上。

在近幾年來，這個實驗室一直在研究民用 GPS 信號系統的安全漏洞。起因是 2011 年 12 月，一架美國無人偵察機在伊朗上空失蹤。失蹤後不久，無人機卻基本上完好無損地出現在伊朗國家電視台中。

一名伊朗工程師後來聲稱，他與其他工程師通過 GPS 欺騙技術捕獲了這架無人機。

但 Zoz 認為這不太可能，因為軍方無人機除了使用加密 GPS 外，系統也不單純依賴於 GPS。

但對於民用 GPS，由於振幅較小它的確很容易被干擾。

在民用領域，GPS 很容易被用作主要感測器。

而 GPS 外加激光測距儀，也是早期自動駕駛測試車用到的定位導航方案。

而感測器上都有過濾器，因此，GPS 失效的方式是慢慢將車輛從不正確的軌道上拖拽出，而不是中途「截斷」。

這也就是為何 2005 年 Darpa 自動駕駛挑戰賽上，斯坦福賽團隊的賽車 Stanley 就在路上呈 S 形行駛狀態，幾乎偏離直線軌道（下圖）。

根據賽後分析，發生偏離原因就在於不穩定的 GPS 把車拽離道路，而隨即車又被車頂的一排激光測距儀拽了回來。

這就是對 GPS 強依賴的典型案例。

而另一輛加州理工的參賽車 Alice 撞上路邊屏障的原因，後來根據日誌被認為是發生了 GPS 漂移。

激光雷達

激光雷達本來被默默用於自動化工業領域，直到機器人專家們挖掘了他們另外的價值。

而它如今也是當下最火最昂貴的自動駕駛感測器，主要用來避障與繪製高精地圖。

要想攻破這個昂貴而又脆弱的感測器，第一步你必須要搞懂工作原理：

激光雷達發射器朝你打出一束激光，然後這束光從你身上再反彈回接收器，根據剛打出激光的時間與接收到反彈信號的時間（相當於這束光整段飛行時間），就能確定你與激光雷達之間的距離。

很顯然，假如光沒有打到你身上，或者是接收器沒收到反彈回來的光束，就意味著激光雷達無法得出正確結果。

因此，控制其發出的光束，或者是利用灰塵、煙霧或薄霧防止其信號返回，都是屬於「拒絕」的一種攻擊方式。

換句話說，操縱物體表面的吸光度或反射率讓它「看不到」正確的信息就是一種有效的惡搞。

舉個例子，像 2D 激光雷達通常按照更便於「推掃」光束的方向安裝在機器上，這意味著它的「眼前」需要視野開闊，一旦地面向上傾斜地厲害，很可能在它眼中會變成一堵牆。

此外，它（2D）也會被一些低矮的障礙物難倒，譬如馬路牙子，再譬如一道水溝。

剛才已經說過，沒有信號返回讓它會認為前面沒有任何東西。因此這意味著能夠吸收激光頻率的東西或者是透明的東西都是它的「死敵」。

這就好辦了。

在牆上用特殊的吸收性材料畫一個隧道如何？

值得注意的是，如果你想用玻璃來製造障礙卻是不奏效的，雖然它是透明的但也有反射性，因此激光雷達能「看穿」它們。

不過更有意思的是，即便是有反射性的東西也會讓它產生混淆。

譬如，如果路上有反光的大水坑，在角度匹配的情況下，它能夠讓遠處的障礙物看起來更近。而這也是機器人設計者不能忽視的事情。

而反過來看，假如在一條路上沒有東西可以反射，那麼信號就會發射進太空，這意味著在激光雷達眼中，路上就像有一個大洞。

很可惜，水坑或者是新鮮的瀝青，都會給它這種錯覺。

Zoz 專門指出某學校的一輛測試車在路上直接撞上了一輛嶄新的黑色 SUV。原因就在於它恰好剛洗過，實在是過於閃閃發光。

而這就是作為冗餘配置——毫米波雷達等感測器存在的理由。

「利用反射來破壞激光感測器的方法，可以變成一個讓汽車不得不做出錯誤選擇的『開關』。譬如當汽車判斷為安全直接開過去，或者是被迫走另一條路時，壞人的目的就達到了。

因此，我們有理由去充分嘗試這些測試去做一些改變。」

通常來說，除了新鮮瀝青，一條美國普通道路的反射率對於激光雷達來說勉強算不錯。

但是有一點需要注意，白線是相當反光的，它們看起來像路上的空隙，也因此被經常用來做車道線檢測。

而這樣做的一個有趣的結果是，你可以用一種人類看不見的方式來做假道路標記。就像 black on black 這種不留痕迹的顏色填補方式，但是機器人會完美地看到它們。

譬如，你可以用塗料修改一些轉彎線。就可能讓一個機器人在路上突然轉彎。

攝像頭

攝像頭也可以被利用，但可能跟你想的有點不太一樣。

這裡不是說黑客通過黑入系統來控制攝像頭（現在被遠程監視是個比較火的話題），因為對於無人車來說，你通過攝像頭看到什麼，並不會給它造成什麼影響。

重點在於如何阻止無人車的攝像頭髮揮正常作用。

從目前大部分的無人車配置來看，激光雷達 攝像頭真的是一對非常棒的搭檔，兩者一起幫汽車做 3D 建模，繪高精地圖。

前者提供精準的點雲數據，後者輸出有噪點的 2D 圖像信息，經常被用來給數據上色。

仍然以斯坦福大學的那輛 Stanley 為例，它之所以能夠在路上開得飛快，是因為頭頂的激光測距儀告訴它什麼是路，什麼不是路；然後用相機的信息來進行顏色匹配，告訴它——

「在你前面像路的東西你要根據顏色來判斷，那是你可以開車的地方。」

相對的，如果是從「干擾」的角度來考慮，讓攝像頭輸出的圖像出現更多紋路與噪點是一個常見思路。

譬如現在市面上有各種各樣的反監視設備，其實原理都一樣——

通過「電磁波干擾」「高低頻電磁波干擾」「反射干擾」等方式讓監控攝像頭的畫面輸出質量變得很差。

而從「欺騙」角度就更容易理解了——什麼方法能騙過你的眼睛？

「如果用路的顏色來製造所有障礙，或者說把障礙物處理地與背景融為一體。

重複模式會讓立體相機變糊塗，因為他們不知道什麼和什麼匹配。」

毫米波雷達

這個感測器的應用也已經非常成熟了，而且即便有人不開車，毫米波雷達其實也離我們很近。

譬如在美國很多機場的安檢門，都是嵌入了毫米波感測器的升級版本。

由於其強大的信號反射接收能力，也因此可以幫我們省掉安檢的下一個步驟——被安檢人員上下其手。

但也正是因為發出的電磁波對信號的反應太「敏感」了，特別是金屬，所以路面上某個金屬物質或者遠處的金屬廣告牌都會造成緊急剎車。

因此工程師都通過編程把它「調松一些」，讓它忽略上空或地面以免做出過激反應。

然而，無論是對金屬的敏感性，還是人為調整，都能讓黑客們在毫米波雷達上做些文章。

「譬如貼合地面可移動的金屬物體，就會讓毫米波雷達犯傻，這可能要感謝把感測器調松的工程師。當然，其實這裡面有很大的想像空間。

但是我們一定要注意，這也是為何要做感測器融合的原因，將各個感測器的優勢結合在一起，會給黑客們尋找侵入時機增加更多麻煩。」

Honda 的無人駕駛概念車，紅圈內為毫米波雷達

IMU/Compass

慣性測量單元（簡稱慣導，這裡主要指 IMU 慣導）是很多系統的主要導航感測器，原因可以用一個詞來概括——

牢固。

由於慣導的內部慣性器件實際就是陀螺 加速度計，因此某種程度上是密閉封裝的，不需要與外界通訊，因此獨立性較強；而缺點則是會隨著時間推移發生偏差。

用 Zoz 的話說就是——「它們對任何欺騙和攻擊都有不錯的抵抗力」。

當然，它肯定也有缺點：

當慣導處於不同方位時，由系統參數變化誤差、內外振動、陀螺不平衡引起的正交和溫度場不均勻等問題，會造成系統的常值漂移產生變化，從而引起導航誤差。

譬如，像波音 777 等商用飛機的 IMU，累計誤差基本佔總行程的 1%。所以慣導會被用在很多北極無人機身上。

但這已經非常不錯了，這就相當於當你走了 300 公里到達目的地時，機器會彈出一個 GPS 定位，告訴你累計距離誤差大約是 300 米。

以上就是軍方也喜歡這個裝置的原因。

但是，有些定位導航系統裡面包含羅盤（Compass），而羅盤對磁場非常敏感，因此「磁場物理攻擊」是一種方法，但 Zoz 並沒有對此做進一步解釋。

如今，就跟在感知方面的激光雷達 攝像頭組合一樣，在很多公司提供的定位解決方案上，用慣導跟 GPS 打配合戰也是一種常見的思路。

高精度地圖

之所以把高精地圖放在「感測器」裡面，是因為它也是自動駕駛汽車完成感知工作的一個重要組成部分。

作為如今非常受追捧的感知模塊，這個相當於讓無人車完成「按圖索驥」的記憶型冗餘系統，其實攻擊和破解思路並不複雜。

由於高精地圖的最大特點之一就是「實時性」，因此這意味著系統需要進行遠程實時更新，那麼黑客就可以直接使用 MITM 進行攻擊。

MITM 攻擊名為「中間人攻擊」，簡單來說就是第三方通過攔截正常的網路通信數據，對其進行篡改，而通信雙方毫不知情，這是一種很早就流行起來的攻擊手段。

「截取並篡改地圖數據，已經被很多團隊測試過並且效果不錯。

當然，你也可以進行通訊干擾，4G 或 5G 信號的干擾方法還是有的。」Zoz 補充道。

本圖來自高精地圖公司 Deepmap

3 極限挑戰

很顯然，攻擊或破解一輛無人車的難易度高度依賴於配置。

而這種反向攻擊無人車的思考方式，也讓多感測器配置方案在市場中更加「擲地有聲」。

雖然單點攻擊很容易，甚至很多方法像是 21 世紀技術版的「戳輪胎放氣」——

譬如通過在牆上用特殊材料畫假隧道，或在其前方放置模仿淺色植被的障礙物，改變磁場，修改光線的明暗，遠程篡改地圖數據等等。

但很多方法只對一個模塊奏效，如果一輛無人車各個部分配合完美，那麼對黑客來說就不是刷個車道線那麼簡單了。

如果再加上智能紅綠燈與智能馬路呢？想必車路協同會是一個以後讓黑客界很感興趣且花長時間研究的選題。

「激光雷達有顯而易見的脆弱性，但這些卻能夠被攝像頭以及毫米波雷達以及定位系統補足。

怎樣攻破多層感測器，還需要黑客們不斷進行嘗試。

當然，也不要讓所有模塊被一個汽車中央統籌大腦管轄，進行分散式數據處理時非常有必要的。」Zoz 作了補充。

如今，無人車的配置已經不能與十多年前的 Darpa 挑戰賽同日而語，連 L2 級無人車的配置都含有除激光雷達外全套感測器件。

不過，作為 Defcon 黑客大賽的重要參與者，Zoz 正在領導和呼籲更多全球白帽子黑客對多感測器自動駕駛方案進行破解挑戰。

而我在 Defcon 現場也發現，有越來越多的大學生與工程師參與到了對無人車的逆向工程研究中。

汽車黑客攤位非常受歡迎

現在，我們不妨換個角度思考——

在黑客們正在對更加堅固的多感測器防護牆進行挑戰時，無人車與機器人的正向技術開發者，反而應該嘗試各種挑戰各種感測器配置的極限，甚至是挑戰單一感測器組合下的無人車技術測試。

「把某個單點能力做好，不意味著可以對其他感測器和輔助模塊馬虎處理，我認為，把每層做好才能稱得上是構建真正的多層安全冗餘。

而現實是，很多無人車所謂的安全冗餘可能僅僅是擺設。

因此，我強烈呼籲工程師們要不斷提升每一功能模塊在敵對及惡意環境下的魯棒性。」

我是機器之能聯合主編宇多田，長期關注自動駕駛、智能製造與 AI 安防賽道，歡迎業內人士一起探討各類產業問題（微信：fudabo001，務必註明身份）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！