在这场比赛中,自动驾驶算法被视为实验对象:参赛者需要在24小时内,不仅在特定场景中突破其防御,还要在竞速条件下优化算法,提高车辆速度。
若能在这两个方面都取得佳绩,便有机会赢得冠军。
这是全球首次举办的自动驾驶CTF比赛,参赛者均为来自世界各地的知名CTF战队。
在9月26日至27日的24小时内,加州大学尔湾分校的ASGuaRd团队以745分的优异成绩获得第一名。
比赛内容概述
此次比赛涵盖多种与自动驾驶安全密切相关的题型,包括传统的BInaRy和ReveRsing题目,以及全新的机器学习安全(AML)和自动驾驶算法(Mad RACE)题目。
从下图可以看出,题目的难度不容小觑,其中“悬赏分”最高的GPS欺骗题目没有任何团队在规定时间内成功解出,得分为零。
部分题目的具体形式如下:
究竟是攻击对手,还是提升自身速度?
如何在限定时间内超越所有队伍,夺得竞速赛的冠军?
这是Mad RACE竞赛题目的规则:
参赛队伍需实现自动驾驶的路线规划和控制算法,与其他队伍同场竞技,最快完成比赛者获得最高分。
然而,或许是主办方故意为之,题目背后还隐藏着一种获胜策略:允许攻击其他车辆的漏洞。
因此,比赛的策略不止一种。若能成功攻破其他车辆,自己便能稳操胜券。
最终,获胜团队并未采用攻击算法,而是专注于提升自身的路线规划和控制算法,这使得他们与第二名迅速拉开了差距。
获胜团队表示,如果车辆的优化足够出色,攻击算法将无法追赶,这也可以成为一种取胜策略。
一张“贴纸”让卡车消失
此外,自动驾驶算法的避障能力也是一项重要技术。
因此,努力欺骗自动驾驶算法,让其撞上障碍物,实际上也是检测算法漏洞的一种方法。
在“消失的卡车”题目中,参赛者需提交Patch(图像块),该Patch将被贴到卡车车厢上,同时要求自动驾驶车辆在接近卡车的过程中,不能在任何一帧中检测到卡车。
简言之,就是利用特殊生成的图像来欺骗目标识别算法。
然而,这并不简单,因为参赛者提交的Patch不仅需要在连续多帧中欺骗目标检测,还需考虑车辆行驶轨迹中的视角、距离变化、传感器噪声及图像预处理等技术因素。
毕竟,没人能预测自动驾驶算法会在何时、以何种图像“被欺骗”。
在这道题目中,冠军团队的Patch具有更高的鲁棒性,最终成功欺骗了自动驾驶算法。
GPS欺骗:全场最难的题目
根据得分情况,全场唯一没有团队解出的题目就是GPS欺骗(GPS Spoofing)。
这道题属于BInaRy攻击类型,是全场得分最高的题目,但无人成功解出。
题目要求参赛者攻击服务器端的GPS欺骗检测程序,从而获取服务器中flag文件的内容。
这道题目属于传统CTF类型,其难点在于,参赛者需了解特定GPS数据的解析格式,并构造虚假的GPS数据来触发和利用该漏洞。
因此,要解决这道题,除了传统的BInaRy攻击技术外,还需具备自动驾驶中GPS传感器的知识和经验,这让大部分团队望而却步。
对于冠军团队而言,最大的遗憾可能是未能解出这道最具挑战性的题目。
为何举办自动驾驶CTF
全力攻破自动驾驶算法究竟有何意义?
或许大家还记得今年6月特斯拉开启AutoPilot时撞上侧翻货车的事故:
在高速路上,一辆货车侧翻在地,后续车辆纷纷避让。
但一辆白色特斯拉Model 3以110公里的时速,直撞明显的货车障碍物。
针对这类自动驾驶的安全事故,本次CTF与实际生活中自动驾驶所面临的安全问题密切相关。
例如,能让白色卡车“消失”的Patch,正是自动驾驶中障碍物识别的一大挑战。
比赛题目的场景来源于特斯拉高速上的安全事故。
毕竟,只有了解如何攻击自动驾驶算法的方法,才能更好地优化其性能,提高车辆的行驶安全性。
冠军团队介绍
本次比赛的冠军团队由6人组成,主要来自加州大学尔湾分校的ASGuaRd(AutonOMOUS SYseMs GuaRd)研究组,导师为Qi AlfRed Chen,成员中有4名在读博士生:Junjie Shen、TakaMi Sato、Ningfei Wang和Ziwen Wan。
此外,还有一名来自清华大学的准一年级博士生Yunpeng Luo,以及目前在CMU攻读硕士的Zeyuan Chen,他本科时曾在UCI学习。
ASGuaRd研究组的研究方向主要集中在自动驾驶软件安全。
团队成员表示,参加比赛的最大优势在于他们的技能和研究方向正好覆盖所有题型。
因此,团队分工明确,其中Junjie Shen、Ziwen Wan、Yunpeng Luo和Zeyuan Chen负责BInaRy、ReveRsing和Mad RACE,而TakaMi Sato和Ningfei Wang则专注于机器学习模型安全(AML)。
不过,对于冠军团队来说,这次比赛也并非一路顺风。
在夺冠前,他们经历了较长时间的无进展期,但在最后关头成功解出两道题目,最终逆转胜出。
