AI News HubLIVE
サイト内リライト2 分で読了

脱線:安全違反の敵対的摂動による生成的エンドツーエンド運転プランナーのスコアリングヘッドの乗っ取り

研究者らはDerailを提案。これは、生成的なエンドツーエンド自律運転プランナーのスコアリングヘッドを標的とした敵対的攻撃フレームワークである。この攻撃により、安全な軌道選択が覆され、スコアが39〜80%低下し、衝突率が最大50%に達する。スコアリングヘッドの推論パターンは防御すべき攻撃面であることが示された。

ソースarXiv Robotics著者: Halima Bouzidi, Mboutidem Ekemini Mkpong, Haoyu Liu, Mohammad Abdullah Al Faruque

最新の研究論文で、生成的なエンドツーエンド自律運転プランナーにおけるスコアリングヘッドを標的とした新たな敵対的攻撃フレームワーク「Derail」が明らかにされた。これらのプランナーは、拡散ベースのノイズ除去や語彙ベースの検索などの生成モデルを用いて軌道をデコードするが、アーキテクチャの多様性にもかかわらず、共通の推論パターンを共有している。すなわち、固定された候補軌道セット(アンカー、語彙エントリ、または提案クエリ)を、鳥瞰図(BEV)特徴量に基づいて1つ以上の学習されたヘッドでスコアリングし、最も高いスコアを得た候補を最終軌道として返す。

この設計では、スコアリングヘッドが知覚と運動指令の間の唯一の障壁となる。しかし、研究者らは、競合する候補間の決定マージンがしばしば小さいことを発見し、これが敵対的攻撃の格好の標的となる。Derail攻撃は、注意深く設計された微小な摂動を用いてスコアリングヘッドの決定を効果的に覆し、プランナーを安全な軌道から安全でない軌道へと切り替える。実験結果によれば、現在の最先端の生成的プランナーの多くがこの攻撃に対して脆弱であり、スコアの低下は39%から80%、衝突率は最大50%に達し、従来の損失最大化攻撃や特徴発散攻撃を一貫して上回る性能を示した。

さらに、論文は安全違反の目的が攻撃の有効性を左右する重要な要素であると分析している。これは、攻撃者がプランナーの内部パラメータを直接変更しなくても、スコアリングヘッドの判断に影響を与えるだけで破滅的な結果を招く可能性があることを意味する。この発見は自動運転の安全性に深刻な課題を突き付けており、既存の防御メカニズムが不十分である可能性を示唆している。研究者らは、自動運転コミュニティに対し、スコアリングヘッドの推論パターンを繰り返し出現する攻撃面として認識し、スコアリングヘッドの堅牢性向上や追加の安全検証メカニズムの導入など、明示的な防御的考慮を促している。

この研究はHalima Bouzidi氏らによって行われ、詳細はarXivプレプリント(論文番号:2606.30807)で閲覧できる。生成的プランナーの自動運転への急速な応用が進む中、本研究成果は安全な展開に向けた重要な警告と方向性を提供している。