Hacking Predictors Means Hacking Cars: Using Sensitivity Analysis to Identify Trajectory Prediction Vulnerabilities for Autonomous Driving Security

要約

学習ベースのマルチモーダル軌道予測器に対する敵対的攻撃はすでに実証されています。
ただし、状態履歴以外の入力に対する摂動の影響や、これらの攻撃が下流の計画と制御にどのような影響を与えるかについては、まだ疑問が残っています。
この論文では、Trajectron++ と AgentFormer という 2 つの軌道予測モデルの感度分析を実行します。
解析により、すべての入力間で、両方のモデルのほとんどすべての摂動感度が最新の位置と速度の状態内にのみ存在することが明らかになりました。
さらに、状態履歴摂動に対する感度が支配的であるにもかかわらず、高速勾配符号法で作成された検出不可能な画像マップ摂動が両方のモデルで大きな予測誤差の増加を引き起こす可能性があることを実証し、これらの軌道予測子が実際には画像ベースの影響を受けやすいことを明らかにしました。
攻撃します。
最適化ベースのプランナーと感度の結果から作成された摂動の例を使用して、これらの攻撃がどのようにして車両を適度な走行速度から突然停止させる可能性があるかを示します。

要約(オリジナル)

Adversarial attacks on learning-based multi-modal trajectory predictors have already been demonstrated. However, there are still open questions about the effects of perturbations on inputs other than state histories, and how these attacks impact downstream planning and control. In this paper, we conduct a sensitivity analysis on two trajectory prediction models, Trajectron++ and AgentFormer. The analysis reveals that between all inputs, almost all of the perturbation sensitivities for both models lie only within the most recent position and velocity states. We additionally demonstrate that, despite dominant sensitivity on state history perturbations, an undetectable image map perturbation made with the Fast Gradient Sign Method can induce large prediction error increases in both models, revealing that these trajectory predictors are, in fact, susceptible to image-based attacks. Using an optimization-based planner and example perturbations crafted from sensitivity results, we show how these attacks can cause a vehicle to come to a sudden stop from moderate driving speeds.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google