该论文旨在解决轨迹预测(trajectory prediction)系统的安全性问题。研究背景是:轨迹预测系统对自动驾驶车辆(autonomous vehicle)安全至关重要,但现有对抗攻击(adversarial attack)方法存在局限,例如需要白盒(white-box)访问(依赖梯度(gradient)信息)和严格的物理约束(physical constraints),限制了其在现实世界中的适用性。
论文提出了DTP-Attack,一个专门针对轨迹预测系统的、基于决策(decision-based)的黑盒(black-box)对抗攻击框架。其核心方法包括:
- 仅利用模型的二元决策输出(如分类结果或预测误差阈值),无需模型内部信息或梯度。
- 采用一种新颖的边界行走算法(boundary walking algorithm),该算法在不依赖固定约束的情况下探索对抗区域(adversarial regions)。
- 通过保持轨迹邻近性(proximity preservation)来自然地维持轨迹的真实性(realism)。
- 支持两种攻击目标:意图误分类(intention misclassification)攻击和预测精度降低(prediction accuracy degradation)攻击。
论文的核心创新点在于:
- **首个专门针对轨迹预测的、基于决策的黑盒攻击框架**:与需要梯度信息的白盒方法或依赖刚性约束的现有方法不同,DTP-Attack仅需二元决策输出,更具现实可行性。
- **无固定约束的边界行走算法**:该算法能灵活地在对抗边界导航,无需预先定义严格的物理约束,从而能生成更自然、更难以检测的对抗轨迹。
- **双攻击模式支持**:同时支持操纵感知驾驶行为(意图误分类)和直接降低预测精度两种攻击目标,而现有方法通常只关注一种。
- **高真实性与可控性**:通过邻近性保持自然维持轨迹真实性,并在多样场景下保持高可控性(controllability)和可靠性(reliability)。
论文对该领域的总体贡献包括:
- **提出并验证了一个高效的黑盒攻击框架**:在nuScenes和Apolloscape数据集上,对Trajectron++和Grip++等先进模型进行了广泛评估,证明了其优越性能(意图误分类攻击成功率41-81%,扰动低于0.45米;预测误差增加1.9-4.2倍)。
- **揭示了轨迹预测系统的根本性漏洞**:结果表明,即使在没有模型内部信息的黑盒设置下,当前先进的轨迹预测系统仍然非常脆弱。
- **为安全关键应用敲响警钟**:强调了在安全关键的自动驾驶应用中,开发鲁棒防御(robust defenses)的紧迫性。
- **为后续研究提供了基准和方向**:其方法在性能上持续优于现有黑盒方法,为攻击和防御研究设立了新的基准。