Charlie Miller&Chris Valasek：如何让自动驾驶更加安全?

12月18日，由腾讯汽车主办的2018全球汽车AI大会正式拉开大幕，近50位来自全球顶尖科技公司、汽车企业高层以及国内外学术专家齐聚北京，共同为AI与汽车产业的深度融合建言献策。

活动现场，全球著名白帽黑客、顶级安全专家Charlie Miller与Chris Valasek就如何保障自动驾驶汽车安全这一话题共同发表了主题演讲。

在他们看来，尽管要真正实现L5级能力还需要很长的时间，但汽车行业的未来就是自动驾驶，当然在这中间也要防止如何被人钻空子。

Charlie Miller与Chris Valasek认为，保护汽车不受攻击的最好办法就是研究可能的供给方式和规律，这将有助于安全人员去描绘一个保护车辆安全的蓝图。

“更为重要的一点在于，对汽车自动驾驶功能来说，有一些方面是有可能受到攻击的比如功能代码，但对于汽车实现完全的、管理员级别的控制是很难的，这就需要汽车企业给予我们更多的信任。”两位专家表示。

以下为发言实录：

Charlie Miller：大家好，诸位上午好！非常感谢邀请我们来到这里谈论一下自动驾驶，早先我们也谈了很多，汽车行业的未来就是自动驾驶，其实我们可以善用它，当然也有人钻他们的空子。

Chris Valasek：大家都知道，我们几年之前是黑客，我们可以远程控制自动驾驶车。过去几年，我们主要是为自动驾驶车提供一些安全技术。那么，我们现在也是为通用旗下一家叫做Cruise Automation的公司提供自动驾驶车的安全架构。

Charlie Miller：我们以前是黑客，现在我们是捍卫者。

实现L5还有很长的路

Chris Valasek：在我们具体谈自动驾驶的技术之前，先来定义一下自动驾驶，什么叫做自动驾驶？在美国有五级自动驾驶车的分级，第一是0级。大家可以看到完全没有任何的自动化技术在里面，完全是驾驶员去驾驶的，根本没有电脑。

Charlie Miller：这是一级自动驾驶车。我们待会还会谈这辆车，在车里还是有一定的辅助驾驶员的技术。但是驾驶员要全程来去操纵车比如有的时候会对车速进行调整。

Chris Valasek：二级自动驾驶要高于一层，例如特斯拉这种自动导航，可以属于二级自动驾驶的经典范例。

Charlie Miller：在特斯拉车中，你可以把手脱离方向盘，但是如果你这样做的话特斯拉车会提醒你，而如果是GEM自动驾驶车的话，车内是有一个摄像头可以观测驾驶员的车内行为，在需要的时候来提醒驾驶员。但是驾驶员还是要全程参与驾驶过程的。

Chris Valasek：我们再来看一下三级自动驾驶，叫做有条件的自动驾驶。大家可以想象有一台车，他能够为你驾驶车，但是驾驶员可以有的时候调整方向盘，或者是踩刹车。

Charlie Miller：驾驶员只是一个监督的角色，大部分的时间还是由自动驾驶系统操控车的。

Chris Valasek：我们其实最感兴趣的还是四级自动驾驶，也是所谓比较高度的自动驾驶，真正是在车自己驾驶。这种车无需有方向盘的设置，有大量的传感器，可以在任何地方驾驶但是有一定区域的局限。

Charlie Miller：比如说雪的路面状态和某一些城市可能就无法行驶了，一个非常好的例子就是Cruise 的车型，也是我们所做的GEM旗下的Cruise Automation公司。五级的自动驾驶是完全在任何路况之下这个车都能够实现自动驾驶。而且还可以处理任何突发现象。可以说我们要达到这个五级还需要很长的路要走，市面上也还没有，现在最高的还是停留在四级，我们来谈一谈行业的情况是怎么样的，比如美国的情况，毕竟这个市场还是最发达的，我也知道中国有很多企业在这大展拳脚。

Chris Valasek：在美国有几个主要的市场比如说旧金山、亚利桑那州，他们非常依赖于事先已经有过精准地图服务的区域。也就是说事先要得到很多精确地图的信息，或者天气情况要求也非常高，下大雨、或者大雪就很困，所以他对前提条件要求也比较多。

Charlie Miller：我们也可以看到这些汽车开的测试里程数非常多，上百万英里。当然要想让人实现这么长时间的驾驶是不可能的，因为人没有这样的精力，但是汽车是可以做到的，只要你编程，它就可以不停的跑。

Chris Valasek：现在在美国研究的关注点主要是驾乘分享的服务。主要是一个像Uber、滴滴、Cruise 、lyft，他们是共享出行服务的公司，他们对于自动驾驶的兴趣点是更高的。

Charlie Miller：最早启动这方面研究工作的是Waymo，它是谷歌旗下自动驾驶软件的项目。这是他们的车，最近真正在亚利桑那州提供现实的商业服务，客户可以打电话约车，车会过来载上他们去到目的地。车里面是有一个驾驶员，但是他不负责驾驶主要是应对突发情况和出现问题时进行干预，所以你会发现他们的手还是会放在方向盘向，脚还是会放在刹车板上，但是只是为了在极其特殊的情况下进行干预的一种预备姿态，并不是真正在开车。

Charlie Miller：我们用的都是电动汽车来做测试，前面Waymo的微型小轿车到我们Uber SUV的车，再到现在Cruise的车都不一样，前面两款用的是内燃机，我们用的Cruise是电动汽车。不管是克莱斯勒还是其他的公司，我们Cruise是跟通用汽车一起合作的，从他们的车厂当中提出来做联合测试，如果技术成熟的话可以很快就扩大产能变成量产。

Chris Valasek：当然，这里也需要涉及到一些原料，或者零部件的采购，需要多方面的配合。

自动驾驶最大的不同在于硬件

Charlie Miller：这里给大家放一段自动驾驶的视频，这是Waymo的车，可以看到车在自己开。在中间右边是一个用户界面，显示这个车自己选择的运行的路线，需要在哪里拐弯等等一些交互的信息。能够让这个乘客比较好的了解到汽车的运行的具体情况。接下来我们说一下与一般型的汽车相比，自动驾驶汽车另外一个与众不同之处就是体现在硬件。

Chris Valasek：我们如果拿自动驾驶汽车和一台标准的乘用车相比，硬件方面差别会非常大，通常来说成本会高很多，可能每一个部件都需要花到7.5万美元。

Charlie Miller：换言之，一个自动驾驶汽车的售价要比普通的汽车贵很多，在硬件方面一个组成部分就是传感器套件。大家可以看到在工厂里面，这是在密歇根的一间工厂具体的组装过程，这是工人正在把传感器放到车里面，里面包括摄像头，还有雷达系统。这基本上就是汽车的眼睛和耳朵，使自动驾驶成为可能。

Chris Valasek：LiDAR应该是自动驾驶汽车和普通的乘用车之间最大的差别，LiDAR实际上是激光雷达系统，用LiDAR再加上这种摄像头就可以感知周围环境，避免碰撞，控制速度等等。现在通常普通的乘用车是不需要的，因为这个驾驶员自己可以控制。但是对于自动驾驶汽车来说这个就至关重要，因为汽车需要有360度视角的视线来了解周遭的环境。因此在美国所有大的四级自动驾驶汽车，汽车厂商都是非常有赖于LiDAR收集信息进行处理的。

Charlie Miller：那么，他们基于LiDAR摄像头系统来开发自己的这种自动驾驶的软件系统。实际上他们都是属于大的传感器套件的组成部分。后面我们还会做具体的介绍。

Chris Valasek：再来看硬件的另一个部分，就是计算的部分。大家可以看到一个普通乘用车和自动驾驶的ECU或者电控单元的不同之处，你会发现它是一个小小的电子单元，它能够来进行控制，比如说控制速度、控制刹车板，当然不便宜。另外一个硬件的部分，车里有一个电脑，你还需要用电脑来控制，就需要有一个连接还需要有通信。所以你需要在计算机、计算单元、以太网和汽车组件之间有一个Bridge ECU（桥梁式电控单元）。

Charlie Miller：你会发现从汽车发展之初到现在，实际上在电控单元方面没有一个转折式的发展。也许在未来我们所有汽车的组件部分都可以通过以太网相互连接。乘客要和车来进行交互，这又是硬件另外一个组成部分，就是用户的交互界面。

Chris Valasek：比如说你会看见路上有一个人，但是汽车会自己避开不会碰上它。所有的这些界面让消费者更有信心，因为至少是一种直观的表现，你会知道这个汽车能够看到，能够看到行人，看到路上骑自行车的人，然后进行避让，心里会比较放心。

Charlie Miller：另外一个硬件组成部分就是以太网、交换器，这些都是在店里可以买的，在以太网上面有很多类似的用于汽车的组件。在自动驾驶当中，主计算器和传感器之间需要来进行连接，你需要保持基于高带宽的高速的传播，可能是100G，甚至更高的传输速度才能够进行如此大量的、快速的和复杂的计算。

我们做了两三款自动驾驶汽车的具体研究工作，通常他们都会用这样一个共通的架构，首先你会有一个计算单元，这就像汽车的大脑一样让汽车来决策。传感器帮你收集周围环境的信息和外界进行沟通，这就是telematics系统，我们称之为遥感技术。还会有一些控制器的局域网来进行足够灵活的调整。还有就是控制器的局域网，其实每一个自动驾驶汽车的基本架构都是这样，但是在具体的性能上会有一些性能上的差别。

Chris Valasek：但是不管怎么样万变不离其宗，基本架构是这样的。你会看到传感器是连接在以太网上，通过以太网来和计算单元进行连接。计算单元进行处理以后，再来通过控制单元控制汽车转向、加减速等等。

Charlie Miller：就像我的同事所说的那样，所有的这些自动驾驶汽车万变不离其宗，用的基本架构就是图表里面显示的，不管是什么样的车用的都是这样的架构。这才是真正应该的自动驾驶的汽车，特斯拉的车并不是真实自动驾驶的车，但是它各个部分排列非常整齐和清晰。比较困难的部分是你要保证安全，它需要很多技术，相对来说我们要确保数据中心和数据沟通之间、通信之间的安全，这个部分是安全的重中之重。

Chris Valasek：还有一点是我们要意识到汽车怎么能够找到自己在哪儿，他们通常会用GPS，我们称之为定位。还有一个地图，它是车出发之前事先就预置好的地图，精度非常非常高，它会通过传感器确定目前这台车在这个地图的哪一个位置。我们现在说的是毫米级的精度，这比传统的GPS和其他的精度要高得多。

Charlie Miller：这个并不容易的，因为所有的预知的地图和传感器收集的信息要合并起来，我要能看我的地图，然后选好的路径这个路径。还会有一些新的东西，比如说车或者行人是原先不可预知的，也可能路上什么都没有，这就是技术的重要部分。

Chris Valasek：这种连接性是最重要的，我们刚才也说了，因为要接人，然后把人送到指定地点，因此通常都把这种车应用于所谓的共享出行。

如何做好安全防护？

Charlie Miller：如何保护自动驾驶车的安全，我们先了解一下历史。黑客可以通过蓝牙、CD播放器来对车辆发起攻击并且控制整个车的刹车系统。它不是一步走的黑客过程，整个黑的攻击是分成几步来走的。

Chris Valasek：还有一种攻击方式也是最危险的，是通过蜂窝通信网络，为什么说它更危险？因为以前的攻击需要蓝牙的连接。就意味着你必须离车的距离不超过30米，但是通过蜂窝网络，可以在国家任何一个位置对车发起攻击，而且危险的是，他们可以对高速行驶的车辆的前端刹车进行控制。

Charlie Miller：再来看另外一个研究，因为有的车有自动驻车系统，我们也可以通过自动驻车系统控制车的方向盘。以前为什么早期的报告都是说黑进了车的刹车系统，因为刹车系统是最先自动化的。我们现在看着随着自动车的自动驾驶程度越来越高，也就是车控制的每一个部分都可以被黑，都可以被攻击。

Chris Valasek：我们远程攻击了这辆车，把这辆车的方向盘转动了，然后驾驶员想把这个车校正过来，但是太晚了，这个车就翻车了。这是2016年做的研究，是腾讯科恩实验室针对特斯拉的Model S，同样大家可以看到也是多步攻击，主要是通过特斯拉车内安装的网络浏览器，也就是让用户去访问一个可疑的网站。拿到他们的Wi-Fi AP地址，然后就可以进入到这个车主单元，进入网关，就可以控制Model S的方向盘和刹车。

Charlie Miller：为什么要看这个研究呢？有意思的地方在于我们可以找到一些攻击的规律，然后通过总结规律来研究保护的方式。所以刚才那个视频就是远程的控制车的刹车系统，我们绝对不希望这种事情发生在车上。所以我们要建构一个防卫系统，这是科恩实验室，他们又对宝马i3做了研究。同样的类型的远程攻击是通过基站发短信，无需任何用户的行为，可以说非常危险。

Chris Valasek：大家可以看到还是有一个网关的设备可以绕过，直接向刹车系统发出指令。所有被黑、被攻击的车和被远程操控的车，一般来说我们是看到三组同时进行。但是我们无法从这三组的一些研究就可以得出所有的结论。我们只是要找到问题，这是一个多步骤的过程。

Charlie Miller：有的时候你要离车近，有的时候可以远程攻击，通常都需要一个网关设备绕过这个行车的系统。

Chris Valasek：我们谈一下保护的部分，保护的最好方式就是研究人们的攻击方式。科恩实验室以及其他研究团队的这样一些结果，帮助我们描绘了一个保卫车辆安全的蓝图。攻击者一般需要四步来攻击一辆车，我们就可以在这四个步骤中的任何一个步骤去拦截他们。

首先看起来这个任务非常的艰巨，这是未来Cruise车的内饰的样子，没有油门，没有刹车，也没有方向盘。那么刚才那个吉普的攻击的案例中，你就可以看到对方向盘攻击的时候，驾驶员还试图校正方向盘，但是太晚了。对于未来的车而言，连方向盘都没有，怎么采取一些措施呢？

Charlie Miller：首先自动驾驶车与你们会购买的车在于，首先以后使用这种共享车、共享的自动驾驶车，他们白天驶出，晚上驶回到车主、业主的停车场。

Chris Valasek：也就是说你作为个人使用者，你无需担心每天晚上如何给他们进行联网系统的升级，这个东西比如说是车的厂商、租车公司去做的。

Charlie Miller：因此，当你是参与到这样的共享出行的项目中，那些拥有车的公司可以实时监控所有自己车队中的车。

Chris Valasek：大家可以想象这种情况，公司可以不断获得实时车辆的情况信息，从而采取比如说入潜检测的手段，对车进行监控。

Charlie Miller：比如说吉普车并没有发现这些安全漏洞，还有科恩实验室在去黑特斯拉车的时候，特斯拉自己其实也没有发现这些安全漏洞。

Chris Valasek：华盛顿大学的研究人员是通过蓝牙、CD播放器去攻击，还有科恩可以有其他的手段，但是对于目前的自动驾驶而言，无需通过哪些方式，他们有自己的电信通讯的渠道，所以真正安全的“码”是不存在的。

Charlie Miller：我们应该把原来在普通轿车中所需要的东西，但是在自动驾驶车中不需要的东西都去除掉，把冗余都删除。

Chris Valasek：这样可以减少汽车受供给的面。大部分的汽车出行其实是无需蓝牙。为什么呢？你并不一定要把自己的手机和车的蓝牙，通过蓝牙连接上。

Charlie Miller：如果你有蓝牙的话，可能对黑客来说更容易，也就是说把这些都去掉，这样让黑进去的途径就少了。我们当然不能完全基于此开发，但是这是一个非常好的开始。当我们在思考自动驾驶车安全保卫的时候，我们最担心的是什么呢？

Chris Valasek：第一就是远程长途利用蜂窝通讯进行攻击，我们可以在几千公里之外来去发起攻击，而且可能会影响到整个车队。

Charlie Miller：这样的话，我们要针对通过蜂窝通讯网络发起攻击去设置一些安全的措施，这是远程。短途就是通过无线、Wi-Fi、热点、蓝牙，当然也不需要物理接触车，就是要离这些车要近。

Chris Valasek：要想起作用，这个车就得在附近。再来看第三个方面，直接接触到车，我们还是会比较担心它会影响整个车队，而不是单独一辆车，这种物理的干预是威胁非常大的。

Charlie Miller：再来看传感器，大家也会看到了在新闻媒体上广泛的报道。他们不是直接影响我们的汽车，比如说有人把标识改了，这个车就读不懂了，车会觉得很困扰。我们的汽车是用地图来找到路标的，然后再辅之以摄像头，如果你把这个路标挪开以后，可能汽车就会知道，根据地图显示这里应该是就一个停车标识的，它还是会停一下，这是一种补救的方式。

Chris Valasek：你有一个高精度的地图，哪怕你的GPS不工作了，还是可以勉强支撑的。但是这个就要取决于你的速度，还有运行的方向，他不会改变行为，因为不是用的GPS进行定位。它是汽车自己在地图上进行定位。Charlie前面也说过了，我们为三家不同的汽车公司做一些防御方面的研究，我们会找到潜在的风险，然后找到方位的方法。

Charlie Miller：我们也写了一些所谓的白报告，来描述我们是如何保护或者防卫一台自动驾驶汽车的。这个报告网上有，免费可以下载。还有我们列出了其他对于自动汽车驾驶安全性比较有意义的要素。

Chris Valasek：我们知道会有一些可以被入侵的编码，不可能存在百分之百的安全，我们只能说尽可能想到它的风险，在实际执行过程当中可能会出现什么样的情况，然后我们实现一种可信赖的执行。

Charlie Miller：我们要考虑到各种综合性的防御技术。

Chris Valasek：我们也有一些从iPhone当中获得的灵感。不过要想对汽车进行完全的管理员级别的控制，还是非常困难的，尤其是在自动驾驶的汽车方面。所以执行可信赖极其重要，我们的每一行代码都是发挥基本性的作用，确保我们能够以管理员的身份对整个汽车进行系统级管控。

Charlie Miller：这点还是非常困难的，过去我们花了很多时间黑到汽车里去，然后基于这样的经验现在来防御攻击。在未来我相信会有越来越多的自动驾驶的汽车面世，技术水平也会越来越高，会有一些优势和劣势。我们对此进行大量了研究也发表了报告，大家可以去看。

Chris Valasek：人们会非常担心说自己的车被人给黑了，但是我也知道事情并不是完全是完美的，至少目前的情况不是这样，但是我们现在所做的努力就是说让它尽可能更安全一点。我们作为防御者通过来黑客（方式攻击）汽车，能够获取更多的经验和知识，从而更好的来保护汽车。谢谢大家。