现实世界的提示词注入攻击:研究揭示标牌如何欺骗自动驾驶汽车
创始人
2026-02-02 00:00:54
0

来源:市场资讯

(来源:IT之家)

IT之家 2 月 1 日消息,众所周知,自动驾驶汽车依赖摄像头识别道路标志安全行驶,但美国加州大学圣克鲁斯分校最近发现,这些摄像头存在类似“提示词注入”的漏洞,足以让无人机降落在不安全的屋顶、让自动驾驶车辆冲向行人。

据网络安全专家、加州大学计算机科学教授 Alvaro Cardenas 介绍,目前越来越多的自动驾驶汽车和无人机依赖“视觉-语言”大模型行动,这类模型可以同时处理图像和文字信息,进而使机器能够应对现实世界不确定情况,但这其中也有新的安全风险。

据悉,研究团队提出了一种名为“CHAI”(IT之家注:Command Hijacking against embodied AI,针对具身 AI 的命令劫持)攻击方法,这种攻击不需要入侵或访问目标系统的软件即可开展,黑客只需要在汽车摄像头视野范围内举起一块带有操纵性文字的标牌就能发起攻击。

这种攻击分为两个阶段:算法首先会对标牌语义内容进行优化,找到最有效的文字组合;然后再对颜色、字体大小和位置视觉属性进行调整,最大化攻击成功率。

实测表明,虽然普通的纯文字标牌往往会被系统忽略,但只要对颜色、对比度进行有针对地优化,AI 就可以无视安全法则,执行危险指令。

为此,研究人员在三种场景下测试了 CHAI,在模拟紧急降落的场合,无人机需要在两栋屋顶之间做出选择:一栋屋顶非常空旷,而另一栋屋顶上充满人群。如果在后者屋顶上放置“Safe to land”(可安全降落)操纵标志牌,无人机有 68.1% 概率错误降落;在使用微软 AirSim 的仿真环境中甚至能达到 92%。

在 DriveLM 自动驾驶系统测试中,攻击成功率达到了 81.8%。正常情况下,这种模型会在行人、其他车辆场景中减速刹车,但只要攻击者举起“Turn left”(左转)标牌,模型就会认为左转符合交通信号或车道标识要求,直接冲向行人。

而攻击效果最显著的就是 CloudTrack 目标最终系统,成功率高达 95.5%,测试中 AI 需要寻找一辆警车,最终却被一辆写着“POLICE SANTA CRUZ”的普通车辆欺骗。

最后研究人员还在真实环境验证了成功,他们将优化后的攻击标志打印出来并放置在现实场景,结果显示 CHAI 在真实条件下同样有效,成功率超过 87%,且在中文、西班牙语和英语 / 西语混合文本中仍然有效。

相关内容

热门资讯

锂电池防爆箱:新能源时代的“隐... 在智能手机、新能源汽车和储能设备全面普及的今天,锂电池已经成为驱动现代社会的“能量心脏”。然而,高能...
2026款五菱星光560:六万... 六万块你买不到舒适,买不到面子,也买不到冰箱、大彩电、沙发,更加不可能买得到智驾。但预算不多又要找一...
零跑D99正式上市,售价24.... 6月25日,零跑旗舰D平台首款MPV——零跑D99正式上市,售价24.98-31.98万元,限时享至...
电控统筹动力底盘,奥迪SQ8实... 智能赋能不止停留在行车辅助层面,更深入车辆动力与底盘核心运转逻辑。奥迪SQ8的车载电控系统可实时识别...
四赴链博会!沃尔沃汽车发布全生... 2026年6月22日-26日,第四届中国国际供应链促进博览会(以下简称“链博会”)在北京举行。沃尔沃...
奔驰纯电C级倒计时:外形被吐槽... 凌晨三点,我在朋友圈刷到一条动态:“看了奔驰纯电C级的谍照,我默默把Model Y的订单确认了。” ...
上海钻石珠宝文化周暨国际珠宝时... “2026 上海钻石珠宝文化周暨国际珠宝时尚定制周” 系列活动今日在黄浦区正式拉开帷幕。本次展览内容...
电讯匠才①|胡登兴:从一线技术... 清晨,重庆电讯职业学院实训基地里,示波器波形图在屏幕上清晰跳动。胡登兴俯身指导学生,探针轻点汽车电路...
零跑D99正式上市 售价24.... 2026年6月25日,零跑旗舰D平台首款MPV——零跑D99正式上市,售价24.98-31.98万元...
原创 电... 当全球汽车工业以不可逆之势向电动化全速迈进时,公众的视线往往被高能量密度的电池包、峰值功率惊人的驱动...