黑客思维看自动驾驶：史上最详细无人车攻击指南 | 深度

恭喜你，成功晋升自动驾驶界的詹姆斯·邦德。

撰文 | 宇多田

「正因为我们的存在，世界才在前进。」

大言不惭说出这句话的，是上世纪 90 年代自称为「黑暗但丁」的传奇黑客 Kevin Poulsen。

这位在 23 岁就成功入侵太平洋贝尔电话公司内网，并多次侵入美国 FBI 计算机系统盗取数据的美国青年，曾被认为在很大程度上推动了互联网通讯行业的发展。

攻击，是为了更完备的防御。这就是网络安全界深以为然的「攻防思维」。

与善于制造网络混乱的黑帽黑客相对应的，是历史上无数白帽黑客一直在用自己的电脑技艺做着「善意的攻击」——

他们探测网络中每一款软件或系统的漏洞，动手改进机器并相信以此能改善整个世界。

例如，在 2011 年的全球黑帽安全大会 (Black Hat Security Conference）上，对 GSM 无线电话网络弱点有深入研究的安全研究员 Don Bailey 就现场演示了如何通过远程劫持汽车报警系统来解锁车门和改动引擎。

而这些实验项目直接促使了后来汽车厂商加大了对搭建汽车安全控制系统的投入。

2016 年，一群来自腾讯科恩实验室的白帽黑客正式对外宣布成功入侵特斯拉汽车 ModelS 系统。

他们并不需要对这辆车事先进行物理接触，就能实现对刹车系统、转向灯、座椅位置以及门锁系统的控制。

虽然不知道这起入侵事件是否对特斯拉与白帽黑客后来更加紧密的合作有所贡献，但 2019 年，特斯拉却成了参加全球著名黑客大赛 Pwn2Own 的首个汽车制造商。

马斯克当时还承诺，谁能破了 Model3 的安全系统，谁就把这辆车开走。

从根本上看，在某一网络设备及系统还不是很完善的情况下，漏洞的存在是显而易见的；对于具备一定理解能力和好奇心的黑客们，想找到出这些程序设计上的漏洞完全不在话下。

因此，AI 技术的创新性与其在一系列产品上相对不成熟的应用，完美符合了以上两个可供黑客发挥自己天才想象力的条件。

作为智能音箱鼻祖，亚马逊的 Echo 一直都是黑客们拿来练手的标杆式 AI（物联网）硬件。

在 2018 年 8 月世界顶级黑客大会 Defcon 上，白帽黑客团队 Tencent Blade Team 就把一个被修改过部件的 Echo 变成了监听器，进行远程控制录音。

而原理就是通过亚马逊允许旗下多个设备互联这一机制，将植入攻击程序的「变质设备」绑定到同个账户下，实现对亚马逊 Echo 智能音箱的破解。（当然，这些漏洞细节最终都提交给了亚马逊团队）。

以上都是「黑客式道德」送给我们的礼物，为多个产业带来了巨大价值。

而一个由几十个零部件组成的智能音箱尚且如此，那么一辆自动驾驶汽车呢？

建立牢固的自动驾驶防御机制，当然少不了黑客们的天才脑洞。

特别是「自动驾驶汽车的固件攻击与软件破解」，也在近几年来频繁出现在包括 Defcon 在内的世界顶级黑客大会议题中。

2018 年，在首次被百度安全引入中国后，这个被称为黑客界奥斯卡的全球性活动就收到了来自中国白帽子界对自动驾驶议题的大量诉求。

今年，在对几万份议题进行几轮公开投票后，一个名为「打造无人车金钟罩」的主题演讲便最终出现了 Defcon 北京黑客大会议程第一天的最佳时间段里。

讲真，现场几乎有一半开发者是冲着自动驾驶来的，其中有百度自身的原因（百度无人车应该没人不知道吧），也有「攻击无人车」这个自带流量的热点话题实在是不能被错过。

毕竟，直到现在，国内都没怎么有人系统讲过如何黑入一辆无人车，连基础的方法论都没有。

无人车对黑客们的吸引力，当然是百度最愿意看到的，也是对百度极为有利的。

因为「逆向工程」对一件技术的开发研究极其重要，它可以帮助工程师从「动机」层面了解和分析一项技术，从而能更好地进行理解与防御。

而如果以后更多白帽子参与到无人车逆向工程的实践中，大概就相当于是在给百度无人车免费找问题。

不过，百度安全部门也一直在悄悄做关于自动驾驶的攻防测试，工程师们潜伏在现场，也希望能从现场的演讲与讨论中找到「灵感」。

作为这次自动驾驶破解议题的演讲嘉宾，美国机器人专家 Zoz 早在 2004 年美国国防部启动 Darpa 自动驾驶挑战赛时就开始走上「破解无人车」的「不归路」，分析和考察过大量无人车「车祸现场」。

譬如，他承认很多美国公司的车在路测初期真的非常惨不忍睹，根本不用黑。

「无人机，机器人以及无人车，这么多机器上天入地，但是我都见过他们被黑客攻破和戏弄的狼狈时刻。」

但 Zoz 自己却是一个不折不扣的机器人拥护者。他坚持认为，机器人革命已到来，已经没有任何人可以阻止。

但之所以要全方位 360 度去寻找自动驾驶汽车身上可能存在的漏洞，是因为他不想在自动驾驶概念在人们心中根深蒂固后，再去后知后觉做一些无关痛痒的讨论。

「我绝对不是在这里传播任何关于自动驾驶汽车的恐惧、不确定性和怀疑论。

但 DEFCON 本身不是一个探讨安全的『宝宝会议』，它是一个最有范儿的黑客的聚集地。

因此，我们需要弄清楚事情是如何运作的。如果它们有什么问题，那么应该如何进行改进。

对我来说，这才是有意义有先导性的黑客行为。」

有趣的是，Zoz 把「寻找自动驾驶汽车漏洞并干扰其正常运作的过程」比作是对自动驾驶汽车一种「艰难的爱」，就像用澳大利亚人的方式学游泳一样：

「把他们扔在水池里，然后放鳄鱼。」

白帽子们在现场破解硬件

1 无人车攻击的逻辑结构

自动驾驶汽车给黑客带来灵感要追溯到 2004 年美国国防部高级研究计划局发起的第一届自动驾驶沙漠挑战赛。

当时被寄予厚望的卡内基梅隆大学（CMU）团队，其组装汽车仅仅在跑了大约 7 英里后就在一个急转弯时冲出了跑道，而发动机随后燃起的熊熊大火也宣告了这支队伍的彻底失败。

「他们有一个庞大的团队，而且把路线规划地十分精确。」Zoz 曾跟这个团队有过深入交流，

「有工程师专门带着 GPS 接收器走了这条路，所以他们地图做的很棒，无人车几乎可以凭借地图数据就能走完这条路。

但他们最大的问题，就是过于关注其他传感器给系统传回的数据。

假如他们忽略激光测距仪的结果，那么他们就能顺利通过。」

CMU 的参赛车 Sandstorm

而 Zoz 讲述这个故事的寓意就是，正确利用现有信息进行整个状态的预估，是无人车做所有不确定性决策的关键。

这意味着机器人需要不停地判断和决定自己「最了解」什么，哪些信息是可靠的，哪些信息是不可靠的。

这是一个「求和」的过程。

因此，如果黑客改变或破坏了求和过程的其中一环，那么他们成功的机会就会变大很多。

现在，让我们来分层次看一下整个破解自动驾驶汽车的逻辑结构。

就像人类一样，我们可以把机器人的行为逻辑进行分层。机器人底层有自己的控制回路用以保持自身稳定，这些东西通常以高循环率在某一个独立系统上运行。

自下而上分别是控制回路、防撞、导航与定位、任务规划及决策

譬如有时我们会看到，一个完全崩溃的机器人并不是躺倒在那里，而是在水中或在空气中保持着完美的稳定性，或者是在那里左右旋转，甚至仍然带有「防撞」意识，这就是对机器人设立的一种基础保护机制。

因此，底层控制「优于一切」，在此基础上才是避障、导航和定位（这些可能就是一个机器人或一辆低级别无人车的全部任务），而再高层级的就是任务规划一类的「行为」了。

那么我们能从这种层级中获知到什么呢？

首先，这里存在一种隐形依赖关系——

当你在这个等级体系中对低层级模块进行攻击，那么你就可以击溃它上面的层级。

当然，很多工程师把大量时间用来加固低级别层级，所以这一层级尽管可能是更多黑客的攻击目标，但也意味着有更好的防御墙，更难发现 bug。

以救生无人机为例，其安装的自动驾驶仪承担了所有稳定性维护，也有着适用于不同飞行环境条件的低水平控制循环系统。

然而，在此基础上的避障和导航功能，却相对脆弱。

因为在很大程度上，高层次的设置逻辑依赖于一个单一的传感器——GPS。

一旦 GPS 发生问题，整个系统会发生问题。

而外卖披萨机器人更是需要各种各样的控制系统来保持稳定，譬如当披萨被移走重心发生变化时，它需要根据重心转移而调整平衡并防止碰撞。

对于这种机器人，可以从其模态转换入手。

「机器人通常都存在某种形式的状态机（能够根据控制信号按照预先设定的状态进行状态转移，是协调相关信号动作、完成特定操作的控制中心）代表着任务与设计师对其的设想。

所以它们总是认为自己处于一种状态或者转化到一个新的状态。

这些状态机定义了机器人在任何给定时间运行的逻辑。 它们对应于任务，而任务和状态的转换可能是一种攻击被触发的开关。 」Zoz 表示。

但是，这些机器的状态机不一定是具有确定性的。

对于数学专业的人来说，Zoz 觉得这看起来可能像一个马尔可夫链（指概率论和数理统计中具有马尔可夫性质且存在于离散的指数和状态空间内的随机过程）。

而这个特点的确广泛存在于机器人控制系统中。

「很多时候我们认为我们处于一种状态，但并不意味着我们真的在那里。所以机器人有一个隐藏状态，我们不一定必须要观察到，但是我们必须弄清楚，这就是攻击变得棘手的地方。」

在控制和避障的上层，机器人则需要通过即时定位与地图构建预先生成地图，然后按照地图进行路线规划和导航，这里就是区别躲避静态障碍与动态障碍的地方。

而更上面的层级对应的任务则较为简单，就是让每一张顾客的信用卡对应一份正确的披萨。

可以看出，相对薄弱的一层是机器人的定位导航层，需要做多种状态及任务切换，因此很容易受到「重定向」、「设立陷阱」以及「地图混淆」等方法的攻击。而方法的初衷就是「让机器人暂时搞不清楚自己到底在哪里」。

值得注意的是，定位与地图构建一定会需要的传感器参与。因此，这一层的脆弱点显而易见——

传感器，是黑客进行攻击的关键突破点之一。

传感器的攻击法则

自动驾驶汽车上的传感器，的确是最具可能性的入侵通道之一。

Zoz 认为，像 GPS、摄像头、激光雷达、毫米波雷达、惯导（IMU）、视觉罗盘、车轮编码器等常见传感器装置，都可以被干扰进而影响自动驾驶的行驶轨道与判断机制。

「还有一些特殊交通工具，譬如潜艇用的多普勒测速仪、扫描声纳以及空气压力熔断器，其实都有被攻击的可能性。」但Zoz并没有提及这些仪器的攻击方式。

「每个传感器都会有一定的噪点。这是接触硬件的自动驾驶工程师都会头痛的问题。」

其中，GPS 的「漂移」问题存在已久：

随着时间延迟与更新速率发生变化，汽车定位与实际位置有较大差距，在运动中会出现与实际路线有一定间隔的连续轨迹。

以依赖 GPS 的救援无人机为例，假如 GPS 有一个更新，那么在漂移情况下就意味着「时间戳」是未知的，因此飞行器的位置估计，可能是在 70 米范围的任何一个地方，很难做到精确到 5 米内的准确投递。

「你必须在各种假设下对这些不确定性进行建模。需要知道传感器基本的噪声模型是什么。

很多人不使用 GPS 是因为他们觉得无法从独立单元中得到 GPS 的噪音模型，或者说他们无法建立一个超级可靠的噪音模型。」

这是一个民用 GPS 定位器静止了一晚，出现的漂移现象

因此，这也是为何当下针对传感器融合得出了较为一致的结论——融合在一起可能比单个传感器更有用。

是的，在很多情况下都是这样。

但是当传感器发出否定信号时无人车会怎么做？信任哪一个模块，信任多少？

Zoz认为，无论装多少传感器，都不能给出一幅描绘世界完美图像，只能给出最好的猜测。

而自动驾驶汽车的鲁棒性最终可能取决于它面对一个失效传感器的表现有多聪明，即使它可能有一整套传感器。

所以，这就是黑客攻击的一个切入点——欺骗传感器，让它提供错误信息。

Zoz 列举了两大类传感器攻击的基本方法——」拒绝」与「欺骗」。

• 「拒绝」，指的是阻止传感器还原任何有用的数据；
• 「欺骗」，则指让传感器采集到攻击者希望的错误信息。

譬如，你可以直接攻击传感器，让他们辨别不了即时性不良数据，或者是试着干扰他们长期积累的聚合数据。

GPS

GPS（全球定位系统）被黑客青睐的历史由来已久。

你可以在网站上很容易就买到一个干扰发射机，而它可以让 GPS 的频率产生很大的噪音，同时让卫星信号变弱。

当然，你也可以恶搞一下它们。譬如生成比卫星本身更高功率的伪 GPS 信号来覆盖接收器。

目前，在无人机身上已经验证了这一方法。德克萨斯大学奥斯汀分校就曾尝试过通过改变 GPS 信号来控制无人机。

2012 年 6 月，由 Todd Humphreys 教授领导的奥斯汀无线电导航实验室曾首次成功演示了一架民用无人机在飞行途中被民用 GPS 劫持。

从视频中可以看到，左边的攻击者正在发射一个功率更高的 GPS 信号。

首先，你要做的是对准无人机真正接收到的 GPS 信号，用跟踪器匹配三个点坐标，挤入信号流并找到峰值，替换成自己的伪GPS信号。

（这就像是「杜鹃把别家鸟窝里的蛋弄走，换上自己的蛋」，都是一个思路）

然后，你就可以开始移动你的信号了，记住要让无人机对跟踪点保持跟随。

现在，让无人机相信它在一个它并不在的位置上，而它的飞行控制系统会根据错误的位置来进行纠正。

譬如，奥斯汀无线电导航实验室通过 GPS 让无人机相信自己在以一定的速度向上移动。然后飞行控制系统接到错误信息后，会尝试修正位置让直升机向下飞。

最后无人机就直接开到了地上。

在近几年来，这个实验室一直在研究民用 GPS 信号系统的安全漏洞。起因是 2011 年 12 月，一架美国无人侦察机在伊朗上空失踪。失踪后不久，无人机却基本上完好无损地出现在伊朗国家电视台中。

一名伊朗工程师后来声称，他与其他工程师通过 GPS 欺骗技术捕获了这架无人机。

但 Zoz 认为这不太可能，因为军方无人机除了使用加密 GPS 外，系统也不单纯依赖于 GPS。

但对于民用 GPS，由于振幅较小它的确很容易被干扰。

在民用领域，GPS 很容易被用作主要传感器。

而 GPS 外加激光测距仪，也是早期自动驾驶测试车用到的定位导航方案。

而传感器上都有过滤器，因此，GPS 失效的方式是慢慢将车辆从不正确的轨道上拖拽出，而不是中途「截断」。

这也就是为何 2005 年 Darpa 自动驾驶挑战赛上，斯坦福赛团队的赛车 Stanley 就在路上呈 S 形行驶状态，几乎偏离直线轨道（下图）。

根据赛后分析，发生偏离原因就在于不稳定的 GPS 把车拽离道路，而随即车又被车顶的一排激光测距仪拽了回来。

这就是对 GPS 强依赖的典型案例。

而另一辆加州理工的参赛车 Alice 撞上路边屏障的原因，后来根据日志被认为是发生了 GPS 漂移。

激光雷达

激光雷达本来被默默用于自动化工业领域，直到机器人专家们挖掘了他们另外的价值。

而它如今也是当下最火最昂贵的自动驾驶传感器，主要用来避障与绘制高精地图。

要想攻破这个昂贵而又脆弱的传感器，第一步你必须要搞懂工作原理：

激光雷达发射器朝你打出一束激光，然后这束光从你身上再反弹回接收器，根据刚打出激光的时间与接收到反弹信号的时间（相当于这束光整段飞行时间），就能确定你与激光雷达之间的距离。

很显然，假如光没有打到你身上，或者是接收器没收到反弹回来的光束，就意味着激光雷达无法得出正确结果。

因此，控制其发出的光束，或者是利用灰尘、烟雾或薄雾防止其信号返回，都是属于「拒绝」的一种攻击方式。

换句话说，操纵物体表面的吸光度或反射率让它「看不到」正确的信息就是一种有效的恶搞。

举个例子，像 2D 激光雷达通常按照更便于「推扫」光束的方向安装在机器上，这意味着它的「眼前」需要视野开阔，一旦地面向上倾斜地厉害，很可能在它眼中会变成一堵墙。

此外，它（2D）也会被一些低矮的障碍物难倒，譬如马路牙子，再譬如一道水沟。

刚才已经说过，没有信号返回让它会认为前面没有任何东西。因此这意味着能够吸收激光频率的东西或者是透明的东西都是它的「死敌」。

这就好办了。

在墙上用特殊的吸收性材料画一个隧道如何？

值得注意的是，如果你想用玻璃来制造障碍却是不奏效的，虽然它是透明的但也有反射性，因此激光雷达能「看穿」它们。

不过更有意思的是，即便是有反射性的东西也会让它产生混淆。

譬如，如果路上有反光的大水坑，在角度匹配的情况下，它能够让远处的障碍物看起来更近。而这也是机器人设计者不能忽视的事情。

而反过来看，假如在一条路上没有东西可以反射，那么信号就会发射进太空，这意味着在激光雷达眼中，路上就像有一个大洞。

很可惜，水坑或者是新鲜的沥青，都会给它这种错觉。

Zoz 专门指出某学校的一辆测试车在路上直接撞上了一辆崭新的黑色 SUV。原因就在于它恰好刚洗过，实在是过于闪闪发光。

而这就是作为冗余配置——毫米波雷达等传感器存在的理由。

「利用反射来破坏激光传感器的方法，可以变成一个让汽车不得不做出错误选择的『开关』。譬如当汽车判断为安全直接开过去，或者是被迫走另一条路时，坏人的目的就达到了。

因此，我们有理由去充分尝试这些测试去做一些改变。」

通常来说，除了新鲜沥青，一条美国普通道路的反射率对于激光雷达来说勉强算不错。

但是有一点需要注意，白线是相当反光的，它们看起来像路上的空隙，也因此被经常用来做车道线检测。

而这样做的一个有趣的结果是，你可以用一种人类看不见的方式来做假道路标记。就像 black on black 这种不留痕迹的颜色填补方式，但是机器人会完美地看到它们。

譬如，你可以用涂料修改一些转弯线。就可能让一个机器人在路上突然转弯。

摄像头

摄像头也可以被利用，但可能跟你想的有点不太一样。

这里不是说黑客通过黑入系统来控制摄像头（现在被远程监视是个比较火的话题），因为对于无人车来说，你通过摄像头看到什么，并不会给它造成什么影响。

重点在于如何阻止无人车的摄像头发挥正常作用。

从目前大部分的无人车配置来看，激光雷达+摄像头真的是一对非常棒的搭档，两者一起帮汽车做 3D 建模，绘高精地图。

前者提供精准的点云数据，后者输出有噪点的 2D 图像信息，经常被用来给数据上色。

仍然以斯坦福大学的那辆 Stanley 为例，它之所以能够在路上开得飞快，是因为头顶的激光测距仪告诉它什么是路，什么不是路；然后用相机的信息来进行颜色匹配，告诉它——

「在你前面像路的东西你要根据颜色来判断，那是你可以开车的地方。」

相对的，如果是从「干扰」的角度来考虑，让摄像头输出的图像出现更多纹路与噪点是一个常见思路。

譬如现在市面上有各种各样的反监视设备，其实原理都一样——

通过「电磁波干扰」「高低频电磁波干扰」「反射干扰」等方式让监控摄像头的画面输出质量变得很差。

而从「欺骗」角度就更容易理解了——什么方法能骗过你的眼睛？

「如果用路的颜色来制造所有障碍，或者说把障碍物处理地与背景融为一体。

重复模式会让立体相机变糊涂，因为他们不知道什么和什么匹配。」

毫米波雷达

这个传感器的应用也已经非常成熟了，而且即便有人不开车，毫米波雷达其实也离我们很近。

譬如在美国很多机场的安检门，都是嵌入了毫米波传感器的升级版本。

由于其强大的信号反射接收能力，也因此可以帮我们省掉安检的下一个步骤——被安检人员上下其手。

但也正是因为发出的电磁波对信号的反应太「敏感」了，特别是金属，所以路面上某个金属物质或者远处的金属广告牌都会造成紧急刹车。

因此工程师都通过编程把它「调松一些」，让它忽略上空或地面以免做出过激反应。

然而，无论是对金属的敏感性，还是人为调整，都能让黑客们在毫米波雷达上做些文章。

「譬如贴合地面可移动的金属物体，就会让毫米波雷达犯傻，这可能要感谢把传感器调松的工程师。当然，其实这里面有很大的想象空间。

但是我们一定要注意，这也是为何要做传感器融合的原因，将各个传感器的优势结合在一起，会给黑客们寻找侵入时机增加更多麻烦。」

Honda 的无人驾驶概念车，红圈内为毫米波雷达

IMU/Compass

惯性测量单元（简称惯导，这里主要指 IMU 惯导）是很多系统的主要导航传感器，原因可以用一个词来概括——

牢固。

由于惯导的内部惯性器件实际就是陀螺+加速度计，因此某种程度上是密闭封装的，不需要与外界通讯，因此独立性较强；而缺点则是会随着时间推移发生偏差。

用 Zoz 的话说就是——「它们对任何欺骗和攻击都有不错的抵抗力」。

当然，它肯定也有缺点：

当惯导处于不同方位时，由系统参数变化误差、内外振动、陀螺不平衡引起的正交和温度场不均匀等问题，会造成系统的常值漂移产生变化，从而引起导航误差。

譬如，像波音 777 等商用飞机的 IMU，累计误差基本占总行程的 1%。所以惯导会被用在很多北极无人机身上。

但这已经非常不错了，这就相当于当你走了 300 公里到达目的地时，机器会弹出一个 GPS 定位，告诉你累计距离误差大约是 300 米。

以上就是军方也喜欢这个装置的原因。

但是，有些定位导航系统里面包含罗盘（Compass），而罗盘对磁场非常敏感，因此「磁场物理攻击」是一种方法，但 Zoz 并没有对此做进一步解释。

如今，就跟在感知方面的激光雷达+摄像头组合一样，在很多公司提供的定位解决方案上，用惯导跟 GPS 打配合战也是一种常见的思路。

高精度地图

之所以把高精地图放在「传感器」里面，是因为它也是自动驾驶汽车完成感知工作的一个重要组成部分。

作为如今非常受追捧的感知模块，这个相当于让无人车完成「按图索骥」的记忆型冗余系统，其实攻击和破解思路并不复杂。

由于高精地图的最大特点之一就是「实时性」，因此这意味着系统需要进行远程实时更新，那么黑客就可以直接使用 MITM 进行攻击。

MITM 攻击名为「中间人攻击」，简单来说就是第三方通过拦截正常的网络通信数据，对其进行篡改，而通信双方毫不知情，这是一种很早就流行起来的攻击手段。

「截取并篡改地图数据，已经被很多团队测试过并且效果不错。

当然，你也可以进行通讯干扰，4G 或 5G 信号的干扰方法还是有的。」Zoz 补充道。

本图来自高精地图公司 Deepmap

3 极限挑战

很显然，攻击或破解一辆无人车的难易度高度依赖于配置。

而这种反向攻击无人车的思考方式，也让多传感器配置方案在市场中更加「掷地有声」。

虽然单点攻击很容易，甚至很多方法像是 21 世纪技术版的「戳轮胎放气」——

譬如通过在墙上用特殊材料画假隧道，或在其前方放置模仿浅色植被的障碍物，改变磁场，修改光线的明暗，远程篡改地图数据等等。

但很多方法只对一个模块奏效，如果一辆无人车各个部分配合完美，那么对黑客来说就不是刷个车道线那么简单了。

如果再加上智能红绿灯与智能马路呢？想必车路协同会是一个以后让黑客界很感兴趣且花长时间研究的选题。

「激光雷达有显而易见的脆弱性，但这些却能够被摄像头以及毫米波雷达以及定位系统补足。

怎样攻破多层传感器，还需要黑客们不断进行尝试。

当然，也不要让所有模块被一个汽车中央统筹大脑管辖，进行分布式数据处理时非常有必要的。」Zoz 作了补充。

如今，无人车的配置已经不能与十多年前的 Darpa 挑战赛同日而语，连 L2 级无人车的配置都含有除激光雷达外全套传感器件。

不过，作为 Defcon 黑客大赛的重要参与者，Zoz 正在领导和呼吁更多全球白帽子黑客对多传感器自动驾驶方案进行破解挑战。

而我在 Defcon 现场也发现，有越来越多的大学生与工程师参与到了对无人车的逆向工程研究中。

汽车黑客摊位非常受欢迎

现在，我们不妨换个角度思考——

在黑客们正在对更加坚固的多传感器防护墙进行挑战时，无人车与机器人的正向技术开发者，反而应该尝试各种挑战各种传感器配置的极限，甚至是挑战单一传感器组合下的无人车技术测试。

「把某个单点能力做好，不意味着可以对其他传感器和辅助模块马虎处理，我认为，把每层做好才能称得上是构建真正的多层安全冗余。

而现实是，很多无人车所谓的安全冗余可能仅仅是摆设。

因此，我强烈呼吁工程师们要不断提升每一功能模块在敌对及恶意环境下的鲁棒性。」

我是机器之能联合主编宇多田，长期关注自动驾驶、智能制造与 AI+安防赛道，欢迎业内人士一起探讨各类产业问题（微信：fudabo001，务必注明身份）