- 自动驾驶车辆依赖在线**高精地图构建(online HD map construction)** 感知车道边界、分隔线和人行横道等安全关键道路元素,直接影响运动规划。
- 现有像素扰动攻击(如PGD)可破坏地图构建,但能被标准**对抗防御(adversarial defenses)** 中和,缺乏对语义级别攻击的系统性研究。
- 需要发现能绕过防御、通过合理环境变化(如阴影、湿滑路面)退化地图预测的语义攻击,以暴露当前防御的漏洞。
- 提出**MIRAGE** 框架,利用**扩散模型(diffusion models)** 学习真实数据流形,搜索与真实场景具有相同道路拓扑但能误导地图预测的**语义变异场景(semantically mutated scenes)**。
- 通过条件扩散生成与环境变异(阴影、水迹等)一致的对抗样本,而非直接修改像素。
- 采用两种攻击形式:**边界移除(boundary removal)** (抑制57.7%检测,破坏96%规划轨迹)和**边界注入(boundary injection)** (唯一能成功注入虚构边界的方法)。
- 使用两个独立**视觉语言模型(VLM)** 法官量化真实性,MIRAGE的通过率为80-84%(干净样本97-99%,AdvPatch仅0-9%)。
- **系统性发现语义攻击**:首次提出通过条件扩散在真实数据流形上搜索合理环境变异,而非随机像素扰动,从而绕过标准对抗防御。
- **边界注入攻击**:MIRAGE是唯一能够成功注入虚构车道边界的方法,而像素级PGD和**AdvPatch** 完全失败。
- **真实性保证**:利用扩散模型保证生成的场景在视觉上真实(通过VLM验证),同时保持与原始场景相同的道路拓扑,使攻击难以被检测。
- **揭示防御鸿沟**:证明语义级扰动(表现为合法环境变化)比像素级扰动更难缓解,暴露了当前对抗防御的**分类缺陷(categorical gap)**。
- 提出**MIRAGE** 框架,为自动驾驶高精地图构建的安全性评估提供了全新的语义攻击发现工具。
- 在**nuScenes** 数据集上验证了两种有效攻击,并展示其对抗各种防御的鲁棒性,尤其是边界注入攻击的独特性。
- 通过定量真实性评估(VLM法官)确立了攻击的视觉可信度标准,促进更真实对抗样本的研究。
- 揭示语义级对抗攻击对自动驾驶系统构成更严重的威胁,推动未来防御研究向语义层面发展。