Evaluating randomized smoothing as a defense against adversarial attacks in trajectory prediction

该论文提出并评估了一种基于随机平滑的防御机制，证明其能在不牺牲正常场景下预测精度的前提下，有效且低成本地提升多种轨迹预测模型在自动驾驶场景中对对抗攻击的鲁棒性。

要点

这篇论文探讨了一个关于自动驾驶汽车的有趣问题：如果路上的其他车辆故意“使坏”（比如突然做出奇怪的动作来迷惑自动驾驶系统），我们的自动驾驶汽车该怎么办？

作者们提出了一种简单又聪明的防御方法，叫做**“随机平滑”（Randomized Smoothing）**。

为了让你更容易理解，我们可以把这篇论文的内容想象成**“在嘈杂的房间里听清指令”**的故事。

1. 背景：自动驾驶的“视力”与“恶作剧”

想象一下，自动驾驶汽车就像是一个超级聪明的司机，它通过摄像头和雷达观察周围的车，然后预测它们下一秒会往哪里开。

• 正常情况：如果前面的车正常行驶，这个司机能预测得很准，大家都能安全通过。
• 恶意攻击（Adversarial Attacks）：但是，有些“坏蛋”（可能是黑客控制的车辆，或者是故意乱开的车）会故意做出一些极其微小、人类肉眼几乎看不出来，但足以欺骗算法的奇怪动作。
  • 比喻：就像有人在你的耳边用极小的声音说了一句“向左转”，虽然声音很轻，但你的大脑（算法）却误以为这是个大指令，结果你猛打方向盘，差点撞车。
  • 现在的研究已经发现，即使是世界上最先进的自动驾驶预测模型，也很容易被这种“恶作剧”骗到，导致预测完全错误。

2. 问题：我们该怎么防御？

以前，人们试图通过给模型“打补丁”或者重新训练模型来防御，但这很麻烦，而且不一定有效。

作者们想：“既然单个指令容易被骗，那如果我们多听几次，然后取个平均值呢？”

这就是**“随机平滑”**的核心思想。

3. 解决方案：随机平滑（Randomized Smoothing）

这就好比你在一个嘈杂的房间里听一个人说话：

• 普通方法（没有防御）：你只听一次。如果刚好有人在你耳边吹了一口气（噪音/攻击），你可能就听错了。
• 随机平滑方法：
  1. 你让那个人重复说这句话 20 次。
  2. 每次说话时，你都在房间里随机制造一点不同的背景噪音（比如有人咳嗽、有人走路、有风声）。
  3. 最后，你把这 20 次听到的内容综合起来，取一个平均值作为最终的理解。

为什么这招管用？

• 攻击失效：那个“坏蛋”的恶作剧（攻击）通常是非常精密的，它只能骗过“安静环境下的单次听写”。一旦你引入了随机的背景噪音，那个精心设计的恶作剧就被“淹没”在噪音里了，再也无法左右你的判断。
• 保持准确：虽然加了噪音，但因为最后取了平均值，那些随机的噪音互相抵消了，所以原本正确的信息依然被保留了下来。

4. 论文里的两种“听法”

作者们尝试了两种具体的“加噪音”方式：

1. 位置平滑（Position-based）：
   • 直接给车辆的位置坐标加一点随机抖动。
   • 比喻：就像你盯着那个人的脸看，但你的眼睛故意轻微地、随机地抖动一下，然后综合判断他在哪。
2. 控制平滑（Control-based）：
   • 给车辆的控制指令（比如油门、方向盘角度）加一点随机抖动。
   • 比喻：就像你想象这个人是在开车，你随机地给他的方向盘加一点微小的力，看看他最终会开到哪里，然后取平均。作者发现这种方法生成的轨迹更符合物理规律（不会突然做出不可能的急转弯）。

5. 实验结果：真的有用吗？

作者们在两个真实的数据集（一个是模拟的，一个是德国真实路口的）上，用两种最先进的自动驾驶预测模型做了测试。

• 结果非常棒：
  • 防御力强：当“坏蛋”车辆试图攻击时，使用了“随机平滑”的模型，预测错误率大大降低了。
  • 不伤及无辜：在没有攻击的正常日子里，这种方法的预测准确度几乎没有下降，甚至在某些情况下还变好了（就像噪音反而帮你过滤掉了过度敏感的误判）。
  • 成本低：不需要重新训练整个复杂的模型，只需要在预测时多算几次（就像多听几次），计算成本很低。

6. 总结：给自动驾驶穿上“防弹衣”

这篇论文告诉我们，随机平滑就像给自动驾驶的预测系统穿上了一件轻便的防弹衣。

• 它不需要把车造得更大、更重（不需要重新训练模型）。
• 它不需要牺牲速度（计算成本不高）。
• 但它能让车在面对“恶意欺骗”时，依然保持冷静和准确，不会因为一点小把戏就乱跑。

一句话总结：
面对故意捣乱的“坏蛋”，最好的办法不是更用力地听，而是多听几次，把那些奇怪的干扰声过滤掉，只留下最真实的声音。这就是让自动驾驶更安全、更聪明的秘诀。

技术摘要

这是一份关于论文《Evaluating randomized smoothing as a defense against adversarial attacks in trajectory prediction》（评估随机平滑作为轨迹预测对抗攻击的防御机制）的详细技术总结。

1. 研究背景与问题 (Problem)

• 背景：自动驾驶的安全性高度依赖于准确的轨迹预测模型。然而，现有的最先进（SOTA）预测模型（如 Trajectron++、ADAPT 等）在面对对抗性攻击（Adversarial Attacks）时表现出极高的脆弱性。
• 问题定义：
  • 对抗攻击：攻击者（如其他车辆）通过对其历史轨迹施加微小的、人类难以察觉的扰动（$\delta X$），欺骗预测模型做出错误的未来轨迹预测。
  • 现有缺陷：虽然已有研究提出了生成此类攻击的方法（特别是基于运动学约束的白盒攻击），但针对轨迹预测模型的防御机制研究非常有限。现有的防御手段大多未能在不牺牲正常场景下精度的前提下，有效抵御此类攻击。
  • 核心挑战：如何在保持模型在非对抗场景下高精度的同时，显著提升其对微小输入扰动的鲁棒性。

2. 方法论 (Methodology)

本文提出将**随机平滑（Randomized Smoothing）**技术应用于轨迹预测领域。这是一种无需重新训练基础模型即可提升鲁棒性的防御策略。

2.1 核心原理

随机平滑通过向输入数据添加高斯噪声并取预测结果的期望值来构建平滑模型：
$$g(x) = \mathbb{E}_{\epsilon}[f(x + \epsilon)]$$
其中 $f$ 是基础预测模型，$\epsilon$ 是噪声。通过平均化邻域内的预测，平滑模型降低了对高梯度输入的敏感性，从而抑制对抗扰动的效果。

2.2 提出的两种平滑策略

针对轨迹预测的特殊性（包含位置、速度、控制输入等状态），作者提出了两种具体的平滑实现方式：

1. 基于位置的平滑 (Position-based Smoothing)：

   • 直接对车辆状态中的位置坐标 ($p$) 添加高斯噪声。
   • 公式：$g_N(X) = \frac{1}{N}\sum f_{P\theta}(X + \epsilon_X)$，其中 $\epsilon_X$ 仅作用于位置块。
   • 特点：直接扰动观测到的轨迹点。

2. 基于控制的平滑 (Control-based Smoothing)：

   • 假设存在动力学模型 $\phi$，将轨迹状态映射回控制输入 ($u$，如加速度、转向角)。
   • 对控制输入添加噪声，再通过动力学模型生成扰动后的轨迹，最后输入预测模型。
   • 公式：$g_N(X) = \frac{1}{N}\sum f_{P\theta}(\Phi(U + \epsilon_U))$。
   • 优势：理论上能生成更符合物理规律（动力学可行）的扰动轨迹，避免产生如“不可能急转弯”等不合理的输入，从而减少对模型性能的破坏。

2.3 实验设置

• 数据集：L-GAP（仿真左转场景）和 rounD（真实环岛场景）。
• 基础模型：Trajectron++ 和 ADAPT。
• 攻击方式：采用 Schumann et al. [22] 提出的基于运动学约束的白盒攻击（使用投影梯度下降 PGD 生成扰动），扰动限制 $d_{max}$ 设为 0.25m, 0.5m, 1m。
• 评估指标：平均位移误差 (ADE)。
• 训练策略对比：
  • Eval：仅在推理阶段使用平滑（不重训）。
  • Train & Eval：在训练阶段即引入平滑噪声（重训）。

3. 关键贡献 (Key Contributions)

1. 首次应用：首次将随机平滑技术引入轨迹预测领域，填补了该领域对抗防御研究的空白。
2. 通用框架：提出了一种适用于任意轨迹预测模型的通用平滑框架，并设计了两种具体的平滑策略（位置 vs. 控制）。
3. 实证分析：在两个真实/仿真数据集和两个主流模型上进行了广泛实验，系统评估了不同噪声水平、平滑策略及训练模式对鲁棒性的影响。
4. 发现：证明了随机平滑不仅能防御攻击，在某些情况下还能作为正则化手段提升非对抗场景下的性能。

4. 实验结果 (Results)

实验结果（基于 ADE 指标）表明：

• 鲁棒性显著提升：
  • 在所有对抗攻击实验（$d_{max} > 0$）中，应用随机平滑的模型均比基础模型表现出更低的 ADE（即预测更准确）。
  • 平滑策略有效降低了攻击幅度（$d_{max}$）与预测误差（ADE）之间的相关性，意味着模型对攻击强度的敏感度降低。
• 非对抗场景表现：
  • 与以往分类任务中平滑可能降低精度的结论不同，本文发现平滑后的模型在无攻击场景（$d_{max}=0$）下，精度要么保持相当，要么（如 ADAPT 在 rounD 数据集上）甚至有所提升。这表明平滑起到了防止过拟合的正则化作用。
• 策略选择：
  • 模型依赖性：最佳策略取决于基础模型。
    • Trajectron++：在仅推理阶段平滑时，基于位置的策略（pos）通常表现更好。
    • ADAPT：基于控制的策略（ctrl）通常表现更优。
  • 噪声水平：较小的噪声标准差（$\sigma = 0.25m$）通常能在提升鲁棒性和保持精度之间取得最佳平衡。
• 训练策略：
  • 对于 Trajectron++，在训练阶段引入平滑（Train & Eval）能进一步提升鲁棒性；而对于 ADAPT，仅在推理阶段使用平滑（Eval）往往已足够或更优。

5. 意义与结论 (Significance & Conclusion)

• 低成本高效益：随机平滑是一种计算成本低且无需重新训练基础模型（在 Eval 模式下）的防御技术，非常适合实际部署。
• 实用性强：该方法能一致性地提升多种模型在不同数据集上的鲁棒性，且不会牺牲正常驾驶场景下的预测精度。
• 未来方向：
  • 探索随机平滑提供的概率鲁棒性保证（Certified Robustness）在轨迹预测中的具体界限。
  • 研究平滑预测器的方差是否可作为预测不确定性的可靠代理，辅助运动规划器。
  • 扩展到更多模型、数据集和攻击方法。

总结：该论文有力地证明了随机平滑是解决自动驾驶轨迹预测模型对抗脆弱性的有效且实用的防御手段，为构建更安全的自动驾驶系统提供了新的技术路径。