一張打印紙欺騙自動駕駛汽車沖向?qū)ο蜍嚨溃?025年研究的真實攻擊

去年12月，工信部正式批準兩款L3級自動駕駛車型在北京和重慶特定路段上路試運行。消息一出，評論區(qū)一片歡騰，有人喊"終于來了"，有人曬出了預訂截圖。就在這條新聞熱度還沒散去的時候，另一條信息悄悄出現(xiàn)在學術(shù)圈：北京航空航天大學的研究團隊在AI頂刊TPAMI上發(fā)布了一項研究成果，他們開發(fā)了一個叫DynamicPAE的框架，能在12毫秒內(nèi)實時生成"物理對抗樣本"——一種貼在路牌或障礙物上、肉眼看起來完全正常，但能讓自動駕駛感知系統(tǒng)當場失效的特殊紋理圖案。12毫秒，這比人眨一次眼睛快了整整6倍，完全可以實時應對高速行駛中的動態(tài)場景。研究團隊測試結(jié)果顯示，對主流自動駕駛視覺模型，這種攻擊讓目標檢測平均精度下降了58.8%。這兩條消息放在一起，你就會明白這個專欄第五篇想說的事有多緊迫。

前四篇我們講的AI投毒，攻擊者都需要接觸模型的訓練數(shù)據(jù)或權(quán)重——換句話說，他們需要"進入"系統(tǒng)內(nèi)部。但對抗樣本攻擊完全不同，它是AI投毒家族里最"物理"的一種手法：攻擊者根本不需要碰模型，不需要入侵服務器，不需要知道任何代碼，他們只需要在現(xiàn)實世界里做一點微小的改動，比如在路牌上貼一張打印紙，或者讓人戴一副特制眼鏡——AI就徹底看錯了。這是AI系統(tǒng)一個深層的脆弱性：它的"眼睛"和人類的眼睛，看的根本不是同一個世界。人類看到的是含義，AI看到的是像素統(tǒng)計特征，而這兩套解讀系統(tǒng)之間的縫隙，就是對抗樣本存在的空間。

美國國家標準與技術(shù)研究院（NIST）在2024年1月發(fā)布的《對抗性機器學習攻擊方法和術(shù)語》報告里，給出了一個讓很多人看完沉默的具體場景：一輛配有自動駕駛輔助系統(tǒng)的智能汽車正在道路上行駛，一個對手在路面上設置了特殊干擾標記，這些標記肉眼難以察覺，卻足以誤導車道識別算法，使汽車偏移至對向車道。這不是假設的未來威脅，這是NIST基于現(xiàn)有研究整理出的已被驗證可行的攻擊場景。更嚴峻的是，北航的DynamicPAE研究進一步證明：這種攻擊已經(jīng)從"靜態(tài)實驗室場景"走向了"實時動態(tài)道路環(huán)境"，攻擊速度比傳統(tǒng)方法快了整整2000倍，真正能跟上高速行駛中不斷變化的光線和角度。同一篇2025年2月發(fā)表于《信號處理》期刊的綜述也明確指出：攻擊者同樣可以利用對抗眼鏡系統(tǒng)性地欺騙人臉識別算法，引發(fā)身份誤判，導致非法入侵或身份冒用。

現(xiàn)在把這些放進中國的現(xiàn)實場景，你會發(fā)現(xiàn)這件事的真實重量。到2025年，中國智能網(wǎng)聯(lián)汽車的滲透率已經(jīng)快速提升，L2級輔助駕駛在15萬元以下的車型里開始普及，城市NOA（自動輔助導航駕駛）已經(jīng)量產(chǎn)，L3試運行剛剛獲批。與此同時，AI輔助醫(yī)學影像診斷也在國內(nèi)三甲醫(yī)院里快速推廣，用于CT片的肺結(jié)節(jié)篩查、眼底照片的糖網(wǎng)病篩查，AI的判讀結(jié)果直接影響醫(yī)生的臨床決策。這兩個場景有一個共同點：AI的感知誤判，后果不是數(shù)據(jù)泄露，不是錢的損失，而是真實的物理傷害——一臺智能車沖向?qū)ο蜍嚨溃粡埍徽`判為正常的癌癥影像。對抗樣本攻擊是AI投毒家族里唯一一種會直接危害肉身的攻擊方式，這是它和前幾篇講到的攻擊最根本的差異。

有人看到這里會反駁：研究環(huán)境和真實道路差距很大，攻擊者要提前在路上貼紙？這不現(xiàn)實吧？這個質(zhì)疑是合理的，但需要補充兩點。第一，對抗樣本的威脅不只來自主動攻擊，還來自"自然對抗樣本"——路面上隨機出現(xiàn)的褪色路牌、特殊天氣下的光照反差、前車濺起的泥水遮擋，都可能構(gòu)成AI感知系統(tǒng)的盲區(qū)，這不需要任何人去主動布置。第二，隨著DynamicPAE這類研究的公開，主動攻擊的實施門檻在持續(xù)下降，打印一張?zhí)囟y理的貼紙，在技術(shù)上并沒有很高的壁壘。更關(guān)鍵的問題是：我們的自動駕駛系統(tǒng)在設計階段，有沒有把對抗樣本魯棒性作為一個核心指標去測試？從目前公開的測試標準來看，答案還不夠令人放心。全國汽車標準化技術(shù)委員會2025年12月的報告明確指出，汽車網(wǎng)絡安全仿真測試標準目前仍處于發(fā)展初期，針對對抗樣本這類AI特有威脅的專項測試方法，在行業(yè)標準層面尚未廣泛建立。

說到防御，對抗樣本目前在學術(shù)界有幾條主要思路：一是對抗訓練，在模型訓練階段就主動喂給它大量對抗樣本，讓模型學會"不被這些騙到"；二是輸入預處理，在數(shù)據(jù)進入模型之前先做去噪和平滑處理，把對抗擾動的影響降到最低；三是集成防御，用多個模型同時判斷同一個輸入，讓單一對抗樣本無法同時騙過所有模型。這些方法有效，但都有代價：對抗訓練會讓模型在正常場景下的性能有所下降；輸入預處理會增加延遲，對實時性要求極高的自動駕駛來說是個問題；集成防御會成倍增加計算資源消耗。更根本的困境是：攻擊和防御永遠在博弈，防御者發(fā)布一種新的防御方法，攻擊者就研究如何繞過它，這場貓鼠游戲在對抗樣本領(lǐng)域已經(jīng)持續(xù)了將近十年，目前沒有哪種防御方案能宣稱一勞永逸。

坐在這篇文章前面的你，如果正好是汽車行業(yè)的從業(yè)者，或者家里有人在用輔助駕駛功能，我想請你認真想三個問題，歡迎評論區(qū)聊聊你的真實想法：你購買或考慮購買的智能汽車，廠商有沒有公開說明它的自動駕駛視覺系統(tǒng)做過對抗樣本魯棒性測試？如果這類測試結(jié)果是公開的，你會把它作為選車的重要指標嗎？還有最后一個問題，留給所有人：當AI開始替我們做越來越多"影響肉身安全"的判斷——開車、看片子、做手術(shù)輔助——在對抗樣本這類威脅還沒有完美解法之前，我們應該怎么劃定AI可以被信任的邊界？