THETA Lab - Thorough Evaluation on Threats of AI 北京交通大学网络空间安全学院 · 人工智能安全实验室 https://nwj6688.github.io Thu, 25 Jun 2026 11:39:47 +0000 Thu, 25 Jun 2026 11:39:47 +0000 Jekyll v3.10.0 <h2 id="引言">引言</h2> <p>人工智能系统的安全问题是当前学术界与工业界共同关注的热点。在自动驾驶领域，如何在<strong>安全性</strong>与<strong>灵活性</strong>之间取得平衡是核心挑战——强化学习（RL）探索能力强但可能产生危险动作，模仿学习（IL）安全性高但过于保守。</p> <p>本文对两篇 TR_C 新兴技术 2025 论文进行联合分析：</p> <ol> <li><strong>PE-RLHF</strong>（Physical-Enhanced RLHF）——用物理规则兜底人类反馈的不可靠性</li> <li><strong>CoFe-DIRL</strong>（Conflict-Free Deep Imitation RL）——在优化层面消除 RL 与 IL 的梯度冲突</li> </ol> <p>两篇论文从不同角度切入自动驾驶策略学习的核心矛盾，共同指向一个根本问题：如何让 AI 系统安全且灵活地驾驶。</p> <h2 id="一背景与问题">一、背景与问题</h2> <h3 id="现有方法的局限性">现有方法的局限性</h3> <table> <thead> <tr> <th>方法</th> <th>优势</th> <th>劣势</th> </tr> </thead> <tbody> <tr> <td>强化学习 RL</td> <td>探索能力强</td> <td>训练危险 / 产生危险动作</td> </tr> <tr> <td>模仿学习 IL</td> <td>安全性高 / 拟人化</td> <td>过于保守 / 新场景失灵</td> </tr> <tr> <td>RLHF</td> <td>结合人类判断</td> <td>人类疲劳/分心 / 反馈不可靠</td> </tr> </tbody> </table> <p>两篇论文从不同角度切入这一核心矛盾：<strong>PE-RLHF</strong> 用物理规则弥补人类反馈的不可靠性，在安全层面建立更稳定的兜底机制；<strong>CoFe-DIRL</strong> 则从梯度层面解决 RL 与 IL 联合训练时的优化冲突，让两种学习范式真正协同而非相互抵消。</p> <h2 id="二pe-rlhf物理知识--人类反馈双导师机制">二、PE-RLHF：物理知识 + 人类反馈双导师机制</h2> <h3 id="21-核心思想双导师机制">2.1 核心思想：双导师机制</h3> <p><strong>人类灵活决策 + 物理规则安全兜底</strong></p> <p>PE-RLHF 的核心洞察在于：<strong>人类反馈灵活但不可靠，物理模型稳定但保守</strong>。单独使用任一种都会有明显短板，而将两者通过 Q 值仲裁机制结合，可以实现优势互补。</p> <p>论文框架分为三层：</p> <ul> <li><strong>底层</strong>：用 IDM/MOBIL 物理模型提供安全动作基准</li> <li><strong>中层</strong>：在线反馈收集人类接管数据</li> <li><strong>顶层</strong>：训练集成 Q 网络对两类动作做价值仲裁，输出最终控制指令</li> </ul> <table> <thead> <tr> <th>维度</th> <th>人类反馈</th> <th>物理规则</th>... Mon, 15 Jun 2026 02:00:00 +0000 https://nwj6688.github.io/2026/06/15/autonomous-driving-rl-strategies.html https://nwj6688.github.io/2026/06/15/autonomous-driving-rl-strategies.html 强化学习 模仿学习 自动驾驶 PE-RLHF CoFe-DIRL 安全约束 <h2 id="引言">引言</h2> <p><img src="/images/blog/2026-06-12-group-meeting-0612-sensor-security-fig01.jpg" alt="封面" /> <em>图 2: 自动驾驶传感器与语音助手安全攻击示意图</em></p> <p>本次组会汇报聚焦于AI系统的物理层安全，探讨了三篇从不同角度揭示智能系统传感器脆弱性的论文：</p> <ol> <li><strong>USENIX Security 2025 — Shadow Hack</strong>：通过在路面铺设特殊材料制造点云阴影，欺骗自动驾驶LiDAR检测模型凭空产生虚假障碍物；</li> <li><strong>DEF CON 24 — 传感器非接触攻击</strong>：通过声、电磁波、光等物理信道，对特斯拉的超声波雷达、毫米波雷达和摄像头实施干扰与欺骗；</li> <li><strong>ACM CCS 2017 — DolphinAttack</strong>：利用超声波载波将人耳不可闻的语音指令注入智能语音助手。</li> </ol> <p>这三篇论文虽然针对的传感器和目标系统各异，但其核心思路高度一致——<strong>系统默认信任传感器物理层输入，而攻击者正是利用了这种信任，在物理层注入或篡改信号，使上层AI算法基于被污染的数据做出错误决策</strong>。</p> <hr /> <h2 id="paper-1-shadow-hack--利用激光雷达阴影欺骗3d目标检测">Paper 1: Shadow Hack — 利用激光雷达阴影欺骗3D目标检测</h2> <table> <thead> <tr> <th>属性</th> <th>信息</th> </tr> </thead> <tbody> <tr> <td><strong>会议</strong></td> <td>USENIX Security 2025</td> </tr> <tr> <td><strong>作者</strong></td> <td>Ryunosuke Kobayashi, et al.</td> </tr> <tr> <td><strong>核心</strong></td> <td>Shadow Hack攻击+BBValidator防御，材料制造LiDAR空洞使模型假阳性</td> </tr> </tbody> </table> <h3 id="背景与动机">背景与动机</h3> <p>3D 目标检测模型在处理时，受边界效应和深度学习特征提取的影响，会错误地将这些“阴影边缘缺陷”当成物体的三维特征。</p> <h3 id="攻击概述">攻击概述</h3> <p>Shadow Hack的攻击目标不是让车消失，而是在无车处制造类似车后阴影的点云缺失区域。</p> <p><img src="/images/blog/2026-06-12-group-meeting-0612-sensor-security-fig01.jpg" alt="Shadow Hack" /> <em>图 3: Shadow Hack</em></p> <p><img src="/images/blog/2026-06-12-group-meeting-0612-sensor-security-fig02.png" alt="Shadow Hack" /> <em>图 4: Shadow Hack</em></p> <h3 id="背景与动机-1">背景与动机</h3> <p>实验系统包含虚拟仿真测试平台（基于 CARLA / OpenPCDet）以及真实的物理光学暗室测试台（包含 16 线/64... Fri, 12 Jun 2026 02:00:00 +0000 https://nwj6688.github.io/2026/06/12/group-meeting-0612-sensor-security.html https://nwj6688.github.io/2026/06/12/group-meeting-0612-sensor-security.html 智能驾驶安全 网络空间安全 AI安全 <h2 id="引言">引言</h2> <p>人工智能系统的安全问题是当前学术界与工业界共同关注的热点。在众多安全威胁中，利用<strong>光学物理效应</strong>对 AI 感知系统进行攻击的研究尤为引人注目——攻击者不需要接触目标设备，也不需要破解网络协议，仅通过操控光信号就能欺骗 AI 系统做出错误的判断。</p> <p>本文对两篇安全领域顶级会议论文进行逐页联合分析与梳理：</p> <ol> <li><strong>Adversarial Sensor Attack on LiDAR-based Perception</strong>（ACM CCS 2019）——利用激光欺骗 LiDAR 感知系统，在自动驾驶车辆前方制造”假障碍物”</li> <li><strong>Light Commands: Laser-Based Audio Injection Attacks on Voice-Controllable Systems</strong>（USENIX Security 2020）——利用调制激光向语音助手注入恶意语音命令</li> </ol> <p>两篇论文虽针对不同的 AI 应用场景，却在攻击范式上高度相似：<strong>利用传感器物理特性的局限性，绕过 AI 系统的安全防护，实现远距离、无接触的注入攻击</strong>。</p> <hr /> <h2 id="paper-1-adversarial-sensor-attack-on-lidar-based-perception-in-autonomous-driving">Paper 1: Adversarial Sensor Attack on LiDAR-based Perception in Autonomous Driving</h2> <ul> <li><strong>作者：</strong> Yulong Cao 等</li> <li><strong>来源：</strong> ACM CCS 2019</li> <li><strong>DOI：</strong> 10.1145/3319535.3339815</li> </ul> <h3 id="概述">概述</h3> <p><img src="/images/blog/2026-06-06-autonomous-driving-p1-overview.png" alt="Adv-LiDAR 方法论总览" /> <em>图 1: Adv-LiDAR 方法论总览——从物理层 LiDAR spoofing 到感知模型对抗攻击的完整框架（Cao et al., CCS 2019 Fig. 2）</em></p> <p>这篇论文不是只证明 LiDAR 能被 spoof，而是问 spoof 出来的点能否骗过 AV 感知模型。作者选择 Baidu Apollo 作为目标平台，目标是让车前 2-8 m 出现假障碍物。方法把物理攻击能力、点云预处理、DNN 输出和后处理放进一个优化框架。</p> <h3 id="背景lidar-感知管线">背景：LiDAR 感知管线</h3>... Sat, 06 Jun 2026 02:00:00 +0000 https://nwj6688.github.io/2026/06/06/autonomous-driving-perception-attack-voice-injection-analysis.html https://nwj6688.github.io/2026/06/06/autonomous-driving-perception-attack-voice-injection-analysis.html 自动驾驶安全 LiDAR攻击 语音注入攻击 智能驾驶安全