自动驾驶技术的迅速发展有望彻底改变交通运输,提高安全性和效率(SAE International (2021); Yuan, Zhu, Yang, & Yang (2020))。这一范式转变的核心是自动驾驶车辆(AV)能够准确预测周围代理的未来运动。因此,基于历史观测数据预测这些未来路径的轨迹预测成为安全主动运动规划的基石(Zhao et al. (2021))。然而,最近的事故报告强调了这项任务的重要性,表明在复杂城市环境中,预测和规划失败是自动驾驶车辆脱离控制和发生碰撞的重要原因(Khan, Lemaster, & Najm (2024))。近年来,基于深度学习的模型,特别是那些利用图神经网络和变压器的模型,在大规模预测基准测试中表现出色(Huang et al. (2022))。然而,这些模型在标准评估环境中的成功掩盖了一个关键但尚未充分探索的问题:当面对旨在引发灾难性故障的精心设计的对抗性输入时,它们的鲁棒性如何?
针对自动驾驶系统的对抗性鲁棒性的研究,特别是对于感知(Sun, Cao, Chen, & Mao (2020) 和轨迹预测等任务,最近受到了关注。现有的方法主要基于迭代梯度优化,通过扰动现有历史数据来制造对抗性轨迹(Cao et al. (2022); Tan, Wang, & Kantaros (2023); Zhang, Hu, Sun, Chen, & Mao (2022))。这些方法通常从真实轨迹开始,寻找在满足运动学约束的同时最大化预测误差的最小扰动。尽管这些方法成功揭示了模型漏洞,但它们存在根本性的局限性,这一点在倡导更鲁棒预测模型的研究中也有体现(Duan, Wang, Cui, He, & Chen (2024))。首先,依赖于在线迭代优化在计算上非常密集,对实时应用或大规模安全测试构成了重大障碍(第4.5节中有量化)。其次,由于将搜索范围限制在原始轨迹的局部邻域内,它们在发现超出小数值偏差的漏洞方面存在固有限制,可能会忽略更深层次的行为级缺陷。此外,现有研究很少评估这些攻击的跨模型和跨领域可转移性,这使得发现的漏洞的通用性受到质疑。制造出既有效又在特定驾驶情境下行为上一致的攻击这一关键挑战——如图1a所示的理想安全场景——在很大程度上仍未得到解决。与可以通过异常值检测过滤的基于噪声的扰动不同,语义欺骗模仿了有效的驾驶操作,使其本质上更难检测,并且能够引发高置信度的规划错误。值得注意的是,在这种情况下,“语义欺骗”指的是操纵编码在运动轮廓中的行为意图(例如,开始转弯的运动学),而不是违反静态地图规则。
为了克服局部扰动的局限性,我们提出了向“生成重构”范式的转变。与优化要叠加在输入上的加性噪声向量的扰动方法不同,我们的方法学习根据驾驶情境重构整个轨迹分布,从而实现全面的行为操纵。图1提供了这一转变的概念性说明。
然而,简单的生成方法(例如,无条件GAN)往往产生与情境无关且显而易见的攻击(图1b)。为了解决这个问题,我们引入了一个条件GAN(c-GAN)框架,该框架明确地将生成条件化为真实历史数据。通过整合多目标损失函数,我们的模型确保生成的攻击不仅有效,而且隐蔽、可控且具有情境意识,能够暴露深层意图级别的漏洞(图1c)。
为了应对上述挑战,本研究的主要
研究目标是:
•建立一种“生成重构”范式,用于合成完整的对抗性轨迹。
•确保生成的攻击在行为上隐蔽且在运动学上合理。
•发现超出数值扰动的深层运动语义漏洞。
•通过跨模型和跨领域泛化来验证攻击的鲁棒性。
具体来说,为了实现这些目标,本文做出了以下关键贡献:
•新的攻击范式:我们引入了一种新颖的“生成重构”框架,将对抗性攻击从局部扰动优化(和基于扰动的生成)转变为直接合成完整的、具有欺骗性的驾驶行为。这种方法更高效,能够发现更深层次的运动语义漏洞,如表1中所系统比较的。
•隐蔽且可控的框架:我们提出了一个专为这种新范式设计的复杂实用的条件GAN(c-GAN)框架。它通过将生成条件化为真实驾驶情境,解决了隐蔽性的关键问题,将攻击转变为一致且可控的欺骗。
•多目标公式化以实现真实性:我们设计了一个新颖的多目标损失函数,明确平衡了攻击强度、行为隐蔽性和运动学合理性之间的竞争目标。这种公式化对于生成既有效又在物理上可行且在视觉上与自然驾驶操作无法区分的对抗性轨迹至关重要。
•广泛的实验验证:通过在大型公共基准测试上的全面实验,我们证明了我们框架的优越性能。定量上,我们的方法达到了82.26%的误报率和13.08米的最终位移误差(FDE),显著优于现有的最佳基线(例如,Adv-GAN的误报率为79.3%),提供了一个评估轨迹预测系统鲁棒性的强大新工具。
