跳转至

Invisible Triggers, Visible Threats! Road-Style Adversarial Creation Attack for Visual 3D Detection in Autonomous Driving

会议: AAAI 2026
arXiv: 2511.08015
代码: https://github.com/WangJian981002/AdvRoad
领域: 自动驾驶安全 / 对抗攻击
关键词: 对抗攻击, 3D目标检测, 误检攻击, 自然风格对抗, 自动驾驶安全

一句话总结

提出 AdvRoad 框架,通过两阶段方法(Road-Style Adversary Generation + Scenario-Associated Adaptation)生成多样化、具有道路表面纹理风格的对抗海报,能够在自动驾驶视觉 3D 检测器中诱发"幽灵物体"(false positive),同时因外观自然而难以被人类驾驶员察觉,显著提升了 FP 攻击的隐蔽性和防御难度。

研究背景与动机

自动驾驶 3D 检测的安全隐患

基于 RGB 相机的视觉 3D 目标检测相比 LiDAR 方案成本低廉,但基于深度神经网络的模型仍然高度易受对抗攻击。对抗攻击分两类: - FN(漏检)攻击:让真实目标逃过检测(如在车辆上贴对抗补丁使其"隐形")——需要物理接触目标,实施难度大 - FP(误检)攻击:让检测器"看到"不存在的障碍物——可能触发紧急制动或危险变道,安全风险同样严重

现有工作的局限

AdvPoster (Wang et al.) 开创了物理 FP 攻击——在路面放置优化后的海报来诱导"幽灵物体"。但存在两个关键弱点:

外观不自然:直接优化像素值得到的海报图案非常抽象,与道路表面差异明显,很容易被人类注意到

单一且易防御:每次训练只生成一张海报,攻击者只有一种图案。防御者只需用该图案做数据增强微调即可破解

本文的改进思路

核心目标:生成多样化的、具有道路纹理风格的对抗海报,使得: - 外观像道路表面 → 人类难以察觉 → 攻击更隐蔽 - 可生成大量不同海报 → 防御者无法逐一针对 → 防御更困难

方法详解

整体框架

AdvRoad 采用两阶段方法:

Stage 1: Road-Style Adversary Generation — 训练一个 GAN 生成器,将潜在噪声向量映射为具有道路纹理风格且具有欺骗能力的对抗海报

Stage 2: Scenario-Associated Adaptation — 针对特定输入场景,在冻结生成器的条件下优化潜在向量,找到该场景下攻击效果最强的海报

关键设计

1. 道路图像集构建与风格学习

使用 DJI 无人机拍摄交通场景的俯拍照片,裁剪出真实道路表面图块(每块约 2m×4m 车辆大小),构建超过 2000 张道路纹理图像的集合。该集合作为 GAN 判别器的"真实参考"。

设计动机:真实道路纹理包含多样化的路面图案(沥青、标线、裂缝等),使用这些真实图像训练判别器,可以让生成器学会生成各种自然道路纹理,而不是单一抽象图案。

2. 对抗性生成器训练

生成器 \(G\) 将噪声向量映射为海报:\(G(n), n \in \mathbb{R}^d\)。训练目标包含两部分:

对抗损失:将生成的海报通过可微渲染放置到训练图像上,利用检测器原始损失函数计算欺骗效果:

\[L_{obj} = J(F_\theta(\mathcal{R}(x, G(n), t)), y^*)\]

其中 \(y^*\) 是在海报位置设定的虚假车辆标注。为避免梯度被已有物体稀释,用 GT 边界框遮罩掩盖真实目标区域。

风格损失:冻结判别器 \(D\),最大化判别器对生成海报归类为"真实道路"的置信度:

\[L_G = L_{cls} + \lambda \cdot L_{obj}\]

交替训练生成器和判别器,逐步向生成海报注入欺骗信息和道路风格。

设计动机:GAN 框架天然适合生成具有特定风格(道路纹理)的内容,同时通过对抗损失确保生成的海报不仅好看还具有攻击能力。

3. 场景自适应优化

Stage 1 后生成器可输出通用的道路风格对抗海报,但从潜在空间随机采样存在不稳定性。Stage 2 针对特定场景进一步优化:

给定输入场景 \(x\),随机初始化噪声 \(n \sim \mathcal{N}(0,1)\),通过冻结的生成器得到海报,在场景中随机采样放置位置并渲染,基于对抗损失反向传播梯度到潜在空间:

\[n_{i+1} = n_i - \alpha \cdot \nabla_{n_i} J(F_\theta(\mathcal{R}(x, G(n_i), t)), y^*)\]

约束更新后的噪声在以初始值为中心、半径 \(\eta\) 的超球内,保持生成图像的自然性。

设计动机:在冻结生成器的约束下搜索潜在空间,保证找到的海报既满足道路风格(不离开生成器的分布),又在特定场景下攻击效果最强。

4. Image-3D 可微渲染

将 3D 道路表面上的海报渲染到 2D 图像: 1. 在扇形区域(±5°、7-10米范围)随机采样 3D 放置位置,避免与场景物体重叠 2. 利用相机内外参将海报四角投影到图像平面 3. 对投影区域内每个像素逆计算 3D 坐标,通过双线性插值确定 RGB 值

设计动机:物理攻击需要考虑海报在 3D 空间的位置和透视投影效果——简单的 2D 贴图无法反映真实的视觉效果。

训练策略

  • 攻击距离:7-10 米(自动驾驶系统在此距离内误判将导致驾驶员无法及时反应)
  • 海报尺寸:2m×4m(接近真实车辆尺寸)
  • 欺骗类别:最常见的"车辆"类
  • 评估:每帧放两个位置,1000 帧 → 2000 次攻击
  • 数据增强:随机亮度对比度调整 + 随机噪声注入,增强物理鲁棒性

实验关键数据

主实验

nuScenes 数据集上 6 种检测器的数字攻击结果(ASR%):

检测器 骨干 Benign@2m Random@2m Real Pic@2m AdvRoad@2m AdvRoad@1m
BEVDet R50 1.5 8.0 30.4 62.6 42.7
BEVDet SwinT 1.2 1.7 25.7 60.2 47.6
BEVDet4D R50 1.2 3.4 45.1 49.1 32.7
BEVDet4D SwinT 1.2 1.4 23.4 39.1 27.8
BEVFormer R50 1.4 1.4 6.3 44.5 20.7
BEVFormer SwinT 1.5 1.5 20.9 37.3 21.0

AdvRoad 在所有检测器上均取得有效攻击(>37% ASR@2m),且 LPIPS 分数显著低于随机海报(更自然)。

与 AdvPoster 对比

指标 AdvPoster AdvRoad
攻击性能(无防御) 更高(91%) 较低(62.6%)
视觉自然度(LPIPS) 高(不自然) 低(自然)
对抗防御后 ASR <2% ~20%
可生成海报数量 1张 无限多

AdvRoad 在绝对攻击率上不如直接优化像素的 AdvPoster,但在自然度和防御抵抗力上具有显著优势——对抗增强防御后,AdvPoster ASR 降至 <2%,而 AdvRoad 仍保持约 20%。

消融实验

两阶段方法的贡献(BEVDet-R50):

配置 Stage1 Stage2 ASR@2m ASR@1m
AdvRoad@1(仅Stage1随机采样) 23.4 13.1
AdvRoad@2(无对抗目标的生成器+Stage2搜索) 26.7 16.3
AdvRoad(完整两阶段) 62.6 42.7
AdvRoad*(Stage2迭代次数50) 67.0 48.6

海报物理尺寸的影响:

尺寸 LPIPS ASR@2m ASR@0.5m
1.5m×3.0m 0.1123 31.3 10.4
2.0m×3.0m 0.1292 49.4 17.7
2.0m×4.0m 0.1472 62.6 23.3
2.0m×5.0m 0.1633 67.6 23.1

超过 4m 后边际收益递减,且在严格指标(0.5m)下反而下降——过大海报妨碍精确定位。

物理攻击

条件 ASR
阳光区域 49.4% (170/344)
阴影区域 28.3% (78/276)
海报褶皱 40.2% (103/256)
部分遮挡 43.8% (92/210)
室内 19.5% (57/292)

物理攻击在多种条件下均有效,即使使用廉价横幅布料打印(颜色偏差)仍能成功。

关键发现

  1. 两阶段结合是必要的——Stage 1 提供道路风格约束和基础欺骗能力,Stage 2 针对特定场景显著提升攻击效果(23.4% → 62.6%)
  2. 真实车辆图片作为海报也能诱发 FP(高达 45.1%),说明检测器确实会从 2D 图片中提取前景视觉线索
  3. 跨数据集泛化:在 KITTI 场景上,海报在 9-10 米距离处攻击效果最强
  4. 道路风格纹理的隐蔽性不仅减少人类注意,还增加了防御难度——因为海报特征与正常道路太像,检测器难以过滤
  5. 增加 Stage 2 迭代次数可持续提升攻击效果(50次迭代 → 67.0% ASR)

亮点与洞察

  1. 攻击隐蔽性与防御抵抗力的双重提升:通常这两者是矛盾的(隐蔽意味着攻击力弱),但本文通过 GAN + 潜在空间搜索巧妙平衡
  2. 实际威胁的严肃展示:40%+ 的 FP 率在自动驾驶中是灾难性的——10米内突然出现的"幽灵车辆"可能触发紧急制动
  3. 防御难度显著提升:单一图案容易被数据增强防御(ASR 降至 <2%),而多样化道路风格海报使防御者面临分布级挑战(仍保持 ~20%)
  4. 物理可行性验证:实际打印户外测试成功,且对褶皱、遮挡、光照变化具有鲁棒性
  5. 有趣的发现:真实车辆照片也能触发误检,揭示了 3D 检测器对 2D 前景线索的脆弱依赖

局限与展望

  1. 攻击距离限制在 7-10 米,更远距离效果下降(海报在图像中面积太小)
  2. 仅测试了 BEV 系 3D 检测器,未验证对 DETR 系(如 PETR、StreamPETR)的攻击效果
  3. GAN 训练需要收集道路俯拍图像作为参考,增加了攻击准备成本
  4. 未探索动态防御场景(如检测器实时过滤可疑道路纹理)
  5. Stage 2 的场景自适应需要知道目标场景,限制了"盲攻击"能力

相关工作与启发

  • 与 AdvPoster 的关系:直接扩展其框架,核心改进在于将显式像素优化替换为隐式生成器表示
  • 与 GAN 对抗攻击的关系:利用 GAN 的风格控制能力来满足自然度约束,这一范式可推广到其他需要隐蔽攻击的场景
  • 启发:对抗攻击研究不仅揭示模型脆弱性,也有助于指导更鲁棒的 3D 检测器设计——如增加对道路纹理的不变性

评分

  • 新颖性: ⭐⭐⭐⭐ — 道路风格 GAN + 潜在空间搜索的组合设计新颖,但各组件不新
  • 实验充分度: ⭐⭐⭐⭐⭐ — 6 种检测器、数字+物理攻击、防御对比、消融实验完整
  • 写作质量: ⭐⭐⭐⭐ — 问题动机清晰,可视化效果好,攻防对比有说服力
  • 实用价值: ⭐⭐⭐⭐ — 对自动驾驶安全有重要启示,但作为攻击方法本身需谨慎

相关论文