ControlLoc: Physical-World Hijacking Attack on Visual Perception in Autonomous Driving

最近对于对抗机器学习的研究集中在自动驾驶中的视觉感知上，并且已经表明，印刷的对抗性贴片可以攻击物体检测器。但是，需要注意的是，自动驾驶的视觉感知不仅仅包括物体检测，还包括多目标跟踪。多目标跟踪通过补偿物体检测错误并要求跨多个帧的一致物体检测结果来增强鲁棒性，然后才会影响跟踪结果和驾驶决策。因此，多目标跟踪使仅针对物体检测的攻击效果变得不那么有效。为了攻击这种强大的自动驾驶视觉感知，提出了一种数字劫持攻击，旨在引起危险的驾驶情景。然而，这种攻击的效果有限。本文介绍了一种新颖的物理世界对抗性贴片攻击ControlLoc，旨在利用整个自动驾驶视觉感知中的劫持漏洞。ControlLoc利用两阶段过程：首先确定对抗性贴片的最佳位置，然后生成可以修改具有最佳位置的物体的感知位置和形状的贴片。广泛的评估表明，ControlLoc的性能优越，实现了惊人的平均攻击成功率约为98.1％，跨各种自动驾驶视觉感知和数据集，这比现有的劫持攻击的效果高四倍。ControlLoc的有效性在物理世界条件下进一步得到验证，包括在不同条件下的真实车辆测试，如室外光照条件，平均攻击成功率为77.5％。还包括AD系统级影响评估，例如使用工业级AD系统和生产级AD模拟器进行车辆碰撞，平均车辆碰撞率和不必要的紧急停车率为81.3％。

本论文旨在解决自动驾驶（AD）中的视觉感知问题，特别是针对物体检测和多目标跟踪的对抗攻击问题。同时，通过提出一种新的物理世界对抗性贴片攻击方法，旨在验证该攻击方法的有效性和危害性。

本文提出了一种名为ControlLoc的物理世界对抗性贴片攻击方法，通过两个阶段的过程，即确定最佳位置和生成可修改物体感知位置和形状的贴片，来攻击整个AD视觉感知系统。该方法的攻击成功率高达98.1％，比现有的数字劫持攻击方法有效性高四倍。

本文的实验设计非常详细，使用了多个数据集和真实车辆测试来验证ControlLoc攻击的有效性。同时，本文还进行了AD系统级影响评估，包括车辆碰撞和不必要的紧急停车等。

最近在对抗机器学习领域中，已经有研究集中在自动驾驶领域的视觉感知问题上，特别是物体检测和多目标跟踪的对抗攻击问题。例如，有关物体检测的研究包括“Adversarial Patch Camouflage on Object Detection”和“Robust Physical-World Attacks on Deep Learning Models”，有关多目标跟踪的研究包括“Towards Evaluating the Robustness of Neural Networks”，等等。