據汽車新聞網站Autoblog報道稱，通過對交通標識進行微小改動，比如涂鴉或者粘貼標簽等，一批美國高校研究人員發現他們可以愚弄汽車的圖像識別系統，并能夠成功入侵汽車的自動駕駛系統。

華盛頓大學、密歇根大學、石溪大學（Stony Brook University）以及加州大學伯克利分校的研究人員最近發現了侵入自動駕駛汽車非常簡單的方法，只需要通過標簽對交通標識做簡單處理，研究人員便成功入侵了汽車的自動駕駛系統。

據了解，研究人員首先分析了自動駕駛汽車視覺系統的運算法則，從而得出系統進行圖像識別的方法。之后，研究人員對交通標識進行了簡單更改，愚弄了系統的機器學習模式，從而使自動駕駛汽車誤讀交通標志；比如，研究人員在交通標示上貼上標簽之后，自動駕駛汽車的視覺識別系統會將一個“停止”標識誤讀成“限速45英里／小時”。如果這種情況在真實世界中發生，這將會導致極為可怕的后果。

在一篇名為《對機器學習模式的粗野物理世界攻擊》（Robust Physical World Attacks on Machine Learning Models）的論文中，在僅使用一臺彩色打印機以及一個攝像頭的情況下，文章作者們便展示了4種可以干擾機器學習以及交通標示讀取的不同方式。而這批實驗中最困擾研究人員的一個問題則是，通過涂鴉、藝術方式改變交通標示，或者融入交通標示的形象設計，交通標示的這些改變對人眼來說是不易覺察的。

研究人員所采用的第一種方法則是，打印一款同等規格的“停止”標識，并覆蓋原先的交通標示。打印后的標示看起來很正常，但是對人眼來說，部分位置可能有褪色的跡象。而在實驗中，即便從不同的角度以及距離進行判斷，機器學習每次都將“停止”標識當作限速標識。第二種測試方法則是在“停止”標識上貼上了“愛情love”與“憎惡hate”的涂鴉標簽之后，三分之二的測試次數之中，該標識被誤讀稱限速標識，還有一次被誤讀成讓路標識。

第三種測試方式則使用“抽象藝術”的方式，即增加幾個小的、放在特定位置的標簽對自動駕駛系統進行攻擊，結果與使用打印版“停止”標識一樣，機器學習每次都將“停止”標識當作限速標識。第四種測試則是對“右轉標識”進行了更改，研究人員使用了灰色標簽掩飾了轉向尖頭，在所有測試之中，有三分之二的測試將該標識誤讀為“停止”，剩余三分之一則將之誤讀為“附加車道”。

研究人員指出，要想成功襲擊自動駕駛系統，黑客們首先需要了解汽車視覺系統的運算法則，或者根據系統的反饋信息粗略判斷系統的視覺識別模式。在了解這些之后，黑客們就會發現如何愚弄自動駕駛系統，而且他們只需要一個目標交通標識的圖像、一臺彩色打印機、一些粘貼紙，他們便會引發可怕的后果，導致某些人在“停止”標識前，繼續以45英里／小時的速度超速運行。

自動駕駛初創公司Voyage高級研究科學家塔里克·埃爾·噶禮（Tarek El-Gaaly）則向《人車志》雜志表示稱，其實這種攻擊的解決方案非常簡單，只需要將這些情況融入到自動駕駛系統之中即可。情境則是一種解決方案，比如，根據汽車所處位置，一輛汽車的自動駕駛系統便能夠識別是否其誤讀了交通標識；再者，系統會意識到，在城市區域它不應該按照高速公路模式駕駛。此外，噶禮指出，當前許多自動駕駛汽車都配置了多個傳感器，因此使用多個攝像頭以及激光雷達傳感器，系統可以建立完善的失效保護機制。