一张打印纸欺骗自动驾驶汽车冲向对向车道：2025年研究的真实攻击

去年12月，工信部正式批准两款L3级自动驾驶车型在北京和重庆特定路段上路试运行。消息一出，评论区一片欢腾，有人喊"终于来了"，有人晒出了预订截图。就在这条新闻热度还没散去的时候，另一条信息悄悄出现在学术圈：北京航空航天大学的研究团队在AI顶刊TPAMI上发布了一项研究成果，他们开发了一个叫DynamicPAE的框架，能在12毫秒内实时生成"物理对抗样本"——一种贴在路牌或障碍物上、肉眼看起来完全正常，但能让自动驾驶感知系统当场失效的特殊纹理图案。12毫秒，这比人眨一次眼睛快了整整6倍，完全可以实时应对高速行驶中的动态场景。研究团队测试结果显示，对主流自动驾驶视觉模型，这种攻击让目标检测平均精度下降了58.8%。这两条消息放在一起，你就会明白这个专栏第五篇想说的事有多紧迫。

前四篇我们讲的AI投毒，攻击者都需要接触模型的训练数据或权重——换句话说，他们需要"进入"系统内部。但对抗样本攻击完全不同，它是AI投毒家族里最"物理"的一种手法：攻击者根本不需要碰模型，不需要入侵服务器，不需要知道任何代码，他们只需要在现实世界里做一点微小的改动，比如在路牌上贴一张打印纸，或者让人戴一副特制眼镜——AI就彻底看错了。这是AI系统一个深层的脆弱性：它的"眼睛"和人类的眼睛，看的根本不是同一个世界。人类看到的是含义，AI看到的是像素统计特征，而这两套解读系统之间的缝隙，就是对抗样本存在的空间。

美国国家标准与技术研究院（NIST）在2024年1月发布的《对抗性机器学习攻击方法和术语》报告里，给出了一个让很多人看完沉默的具体场景：一辆配有自动驾驶辅助系统的智能汽车正在道路上行驶，一个对手在路面上设置了特殊干扰标记，这些标记肉眼难以察觉，却足以误导车道识别算法，使汽车偏移至对向车道。这不是假设的未来威胁，这是NIST基于现有研究整理出的已被验证可行的攻击场景。更严峻的是，北航的DynamicPAE研究进一步证明：这种攻击已经从"静态实验室场景"走向了"实时动态道路环境"，攻击速度比传统方法快了整整2000倍，真正能跟上高速行驶中不断变化的光线和角度。同一篇2025年2月发表于《信号处理》期刊的综述也明确指出：攻击者同样可以利用对抗眼镜系统性地欺骗人脸识别算法，引发身份误判，导致非法入侵或身份冒用。

现在把这些放进中国的现实场景，你会发现这件事的真实重量。到2025年，中国智能网联汽车的渗透率已经快速提升，L2级辅助驾驶在15万元以下的车型里开始普及，城市NOA（自动辅助导航驾驶）已经量产，L3试运行刚刚获批。与此同时，AI辅助医学影像诊断也在国内三甲医院里快速推广，用于CT片的肺结节筛查、眼底照片的糖网病筛查，AI的判读结果直接影响医生的临床决策。这两个场景有一个共同点：AI的感知误判，后果不是数据泄露，不是钱的损失，而是真实的物理伤害——一台智能车冲向对向车道，一张被误判为正常的癌症影像。对抗样本攻击是AI投毒家族里唯一一种会直接危害肉身的攻击方式，这是它和前几篇讲到的攻击最根本的差异。

有人看到这里会反驳：研究环境和真实道路差距很大，攻击者要提前在路上贴纸？这不现实吧？这个质疑是合理的，但需要补充两点。第一，对抗样本的威胁不只来自主动攻击，还来自"自然对抗样本"——路面上随机出现的褪色路牌、特殊天气下的光照反差、前车溅起的泥水遮挡，都可能构成AI感知系统的盲区，这不需要任何人去主动布置。第二，随着DynamicPAE这类研究的公开，主动攻击的实施门槛在持续下降，打印一张特定纹理的贴纸，在技术上并没有很高的壁垒。更关键的问题是：我们的自动驾驶系统在设计阶段，有没有把对抗样本鲁棒性作为一个核心指标去测试？从目前公开的测试标准来看，答案还不够令人放心。全国汽车标准化技术委员会2025年12月的报告明确指出，汽车网络安全仿真测试标准目前仍处于发展初期，针对对抗样本这类AI特有威胁的专项测试方法，在行业标准层面尚未广泛建立。

说到防御，对抗样本目前在学术界有几条主要思路：一是对抗训练，在模型训练阶段就主动喂给它大量对抗样本，让模型学会"不被这些骗到"；二是输入预处理，在数据进入模型之前先做去噪和平滑处理，把对抗扰动的影响降到最低；三是集成防御，用多个模型同时判断同一个输入，让单一对抗样本无法同时骗过所有模型。这些方法有效，但都有代价：对抗训练会让模型在正常场景下的性能有所下降；输入预处理会增加延迟，对实时性要求极高的自动驾驶来说是个问题；集成防御会成倍增加计算资源消耗。更根本的困境是：攻击和防御永远在博弈，防御者发布一种新的防御方法，攻击者就研究如何绕过它，这场猫鼠游戏在对抗样本领域已经持续了将近十年，目前没有哪种防御方案能宣称一劳永逸。

坐在这篇文章前面的你，如果正好是汽车行业的从业者，或者家里有人在用辅助驾驶功能，我想请你认真想三个问题，欢迎评论区聊聊你的真实想法：你购买或考虑购买的智能汽车，厂商有没有公开说明它的自动驾驶视觉系统做过对抗样本鲁棒性测试？如果这类测试结果是公开的，你会把它作为选车的重要指标吗？还有最后一个问题，留给所有人：当AI开始替我们做越来越多"影响肉身安全"的判断——开车、看片子、做手术辅助——在对抗样本这类威胁还没有完美解法之前，我们应该怎么划定AI可以被信任的边界？