该论文提出了一种名为 DriveFuzz 的模糊测试工具，旨在自动发现自动驾驶系统（ADS）中的安全缺陷。自动驾驶系统通常依赖深度神经网络处理传感器数据并做出驾驶决策，但这类系统可能因异常输入（如传感器噪声、不规则路况）而表现出不安全行为。然而，传统的模糊测试方法难以有效应用于复杂的 ADS 环境，因为它们需要模拟真实的物理世界交互。DriveFuzz 的关键创新在于引入了一种“驾驶质量引导”的模糊测试策略：它基于车辆控制信号的平滑性、碰撞风险等指标来量化每次测试输入的“驾驶质量”，并利用该指标指导变异算子生成更可能触发不安全行为的测试场景。具体而言，DriveFuzz 通过将原始传感器数据（如激光雷达点云、摄像头图像）作为输入，并利用一个反馈循环，选择那些导致驾驶质量下降的变异输入进行后续探索。论文在工业级自动驾驶模拟器（如 CARLA、LGSVL）上进行了评估，结果表明 DriveFuzz 能够有效发现多种类型的 bug，包括车辆偏离车道、碰撞障碍物、无视交通标志等，且发现的 bug 数量显著优于现有基线方法。该工作发表于 ACM CCS 2022，附录包含更多实验细节。

该论文首次系统性地研究了具有推理能力的视觉-语言-动作（VLA）模型在自动驾驶场景下对现实输入扰动的鲁棒性。以往研究多假设推理与轨迹生成紧密耦合且鲁棒，但实际场景中存在各种文本输入噪声（如传感器错误、环境描述歧义等）。作者以NVIDIA最新提出的Alpamayo系列模型为代表性VLA框架，在黑盒设定下模拟了多种现实文本扰动，包括字符级错误、单词级替换、语义混淆等。实验采用闭环仿真环境（如CARLA），评估扰动对模型推理正确性和轨迹规划的影响。结果表明：攻击对推理环节的成功率高达89%，对最终轨迹操纵的成功率达72%，显著增加碰撞率并降低安全指标。为系统评估这种脆弱性，论文设计了推理感知评估框架，同时关注推理的语义一致性（如哪类指令被错误理解）和结构准确性（如动作序列的顺序错误），并引入安全中心度量（如最小安全距离违反次数）。此外，作者公开了一个基准测试集，涵盖不同类型的扰动与场景，用于标准化评估攻击与防御方法。该工作指出当前VLA模型缺乏对输入噪声的鲁棒性，亟需开发新的防御机制以确保L4级以上自动驾驶的安全性。

本文提出 MIRAGE 框架，用于系统性地发现针对自动驾驶在线高清地图构建的语义攻击。自动驾驶车辆依赖高清地图感知车道线、分隔带、人行横道等安全关键元素，现有像素扰动攻击易被标准对抗防御（如对抗训练）中和。MIRAGE 利用扩散模型学习到的真实数据潜流形，搜索与真实场景具有相同道路拓扑但能误导地图预测的语义突变场景，例如阴影、湿滑路面等合法环境变化。在 nuScenes 数据集上评估了两种攻击：边界移除攻击抑制 57.7% 的检测结果，导致 96% 的规划轨迹被破坏；边界注入攻击是唯一能成功注入虚拟边界的方法，而像素级 PGD 和 AdvPatch 完全失败。两种攻击在多种对抗防御下仍保持有效性。通过两个独立 VLM 评判员量化真实感，MIRAGE 生成场景有 80–84% 的概率被认为真实（干净 nuScenes 为 97–99%，AdvPatch 仅 0–9%）。实验表明，语义级扰动作为合法的环境变化，比像素级扰动更难防御，揭示了当前对抗防御的类别性缺陷。

本文提出了一种针对基于视觉的自动驾驶系统的新型物理对抗攻击范式。现有物理攻击通常需要复杂的补丁或动态变化的图案，以在不同的视角下保持欺骗效果，而本文反其道而行之，将视角变化本身转化为攻击工具。攻击者只需在目标车辆上安装一个静态的、被动的对抗性伪装（即一种特制的车身涂装），其外观会随着相对运动而自然变化，从而在受害者车辆的感知系统中诱发持续的特征漂移。这种漂移导致系统推断出一个物理上合理但错误的轨迹（例如虚假的切入行为），进而传播到下游决策模块，触发不必要的紧急刹车。攻击无需主动干预或多视角鲁棒性优化，部署极为简便：一辆静止的伪装车辆即可使通过的自动驾驶车辆急刹车。在nuScenes数据集上的实验表明，该方法在硬刹车事件上的端到端成功率达87.5%，且对不同场景背景、受害者车速和感知模型均具有鲁棒性。

本文提出一种新型物理对抗性样本生成技术——短时对抗性扰动（SLAP）。传统静态对抗性补丁存在明显、半永久、无法修改等缺点，而SLAP利用投影仪将精心设计的对抗性扰动实时投射到真实物体上，使其转化为对抗性样本。攻击者可以动态开关或修改投影，且不受空间限制，更难被察觉。作者以自动驾驶场景为测试对象，针对车辆检测器和交通标志识别系统（特别是停止标志检测）进行实验。在多种环境光照条件（包括室外）下，SLAP在非明亮环境中表现出极高鲁棒性，对最先进的神经网络（如YOLOv2）在多种角度和距离下实现高达99%的误分类成功率。此外，SLAP生成的对抗性样本不会表现出传统对抗性补丁的可检测特征，从而绕过了SentiNet等物理对抗性检测方法。作者还评估了包括对抗性训练在内的自适应防御措施，即使在有利的攻击条件下，对抗性训练也能将攻击成功率降低80%。该研究揭示了物理对抗性攻击的新途径，对自动驾驶安全具有重要意义。

交通标志识别（TSR）是安全自动驾驶的关键组成部分。近年来的研究揭示了TSR模型易受物理世界对抗攻击，例如低成本、高部署性的攻击能够隐藏或伪造关键交通标志。然而，现有研究主要基于学术TSR模型评估攻击效果，对真实商业TSR系统的影响尚不清楚。本文首次大规模测量了物理世界对抗攻击对商业TSR系统的实际影响。实验发现，某些学术攻击对特定商业TSR功能可实现100%的可靠攻击成功率，但整体泛化能力不足，导致平均成功率远低于预期。进一步分析表明，商业系统中普遍存在的空间记忆设计（即系统对连续帧中同一标志位置的记忆机制）是削弱攻击效果的关键因素。为此，作者设计了新的攻击成功度量，从数学上建模空间记忆对系统级攻击成功率的影响，并基于新度量重新评估现有攻击方法。通过这一框架，研究揭示了7个新发现，其中部分直接挑战了先前文献的结论（例如某些被认定为高成功率的攻击在新度量下表现不佳）。该工作填补了学术攻击与商业系统防御之间的认知鸿沟，为后续设计更鲁棒的TSR系统提供了理论基础。

本文系统研究了视觉语言模型（VLM）在自动驾驶场景中的对抗性迁移性。随着VLM在自动驾驶中的应用日益广泛，其结合视觉感知与语言推理的能力提升了可解释性，但物理世界对抗攻击的迁移性风险尚未被充分探索。本文针对三种代表性VLM架构（Dolphins、OmniDrive、LeapVAD），在十字路口和高速公路两种场景下，使用可物理实现的补丁攻击（放置于路边基础设施）进行跨架构迁移性评估。实验通过迁移矩阵评估，发现跨架构攻击具有高有效性：十字路口场景的迁移率为73-91%（平均0.815），高速公路场景为73-91%（平均0.833）。即使在补丁未针对目标模型优化的情况下，攻击在64.7-79.4%的关键决策窗口内仍能持续操控帧级输出。结果表明，攻击者无需知道目标车辆的具体模型，即可利用可迁移的物理补丁干扰VLM决策，对自动驾驶安全构成严重威胁。本研究首次量化了VLM在自动驾驶中的对抗迁移性，揭示了跨架构攻击的实际风险。

该论文聚焦于自动驾驶系统中基于摄像头的感知模块在对抗性攻击下的安全性问题。研究团队设计了一种实用的对抗性贴片攻击方法，专门针对基于摄像头的障碍物检测系统。作者发现箱式卡车的后部是一个有效的攻击向量，通过在卡车后部粘贴特制的对抗性图案，可以欺骗障碍物检测算法使其无法正确识别。为了增强攻击的鲁棒性，该方法考虑了攻击场景中多种可能的输入帧（例如不同角度、光照条件等），使得攻击在真实世界中更加稳定。论文通过模拟器中的视频演示展示了该攻击能够在代表性的自动驾驶系统（如端到端驾驶模型）上引发连续的严重后果，例如导致车辆未能及时刹车或改变路径。研究揭示了当前基于视觉的感知系统在面对精心设计的物理对抗样本时的脆弱性，强调了开发更鲁棒感知算法的迫切需求。该工作为自动驾驶安全领域提供了重要的攻击面分析和安全启示。