用雨傘「釣」無人機？首個針對自主目標跟蹤閉環系統的物理攻擊

新智元報道

編輯：LRST

【新智元導讀】研究者用特制雨傘干擾無人機視覺系統，讓其誤判目標在遠去，從而失控俯沖。FlyTrap攻擊無需信號干擾，僅靠物理圖案就能欺騙多款商用無人機，實現靜默捕獲或擊毀。實驗顯示，物理閉環攻擊成功率超60%，且對新人物、新場景均有強泛化能力。這項研究揭示了AI感知系統的重大安全隱患，警示我們：視覺安全正成為智能設備的阿喀琉斯之踵。

隨著消費級和工業級無人機的普及，自主目標跟蹤（Autonomous Target Tracking, ATT） 已成為標配功能。

無論是 DJI（大疆）的跟隨拍攝，還是警方的無人機巡邏，系統都依賴單目標跟蹤（SOT）模型來實時鎖定并保持與目標的固定距離。

在目前現實世界的安全假設中，如果無人機沒有受到 GPS 欺騙或信號干擾，它就被普遍認為是安全的。

圖1: FlyTrap物理對抗性雨傘以及測試的三款商用無人機

然而，加州大學爾灣分校的研究人員直接挑戰了這一假設，證明了：通過操縱物理世界中的視覺特征，可以從算法層面接管無人機的飛行控制邏輯。

論文鏈接 (arXiv):https://arxiv.org/pdf/2509.20362

論文鏈接 (NDSS):https://www.ndss-symposium.org/ndss-paper/flytrap-physical-distance-pulling-attack-towards-camera-based-autonomous-target-tracking-systems/

項目主頁與演示視頻：https://sites.google.com/view/secure-safe-ai/flytrap

演示視頻：https://www.tiktok.com/@asguard_uci/video/7599829206599552287

其他視頻材料：https://www.youtube.com/playlist?list=PLlViq2qGRmiYQUEovXYaP3ww9AlWH4ZBt

FlyTrap的核心，距離拉近攻擊 (Distance-Pulling Attack, DPA)： 該攻擊利用了神經網絡對于對抗樣本感知時的脆弱性。

攻擊者通過一把特制的「對抗性雨傘」，讓無人機的視覺模型產生嚴重的邊界框（Bounding Box）預測偏差。即便物理距離沒有變化，無人機的跟蹤算法也會認為目標正在迅速遠去。為了維持設定的跟蹤距離，飛行控制器會立即觸發加速補償，導致無人機失控俯沖。

FlyTrap攻擊的發現具有深遠的現實意義。在執法與邊境管控場景中，該技術可作為一種非電子對抗手段，幫助相關人員在不使用信號干擾器的情況下，靜默誘導并捕獲自動跟蹤的無人機 。

此外，對于個人隱私保護而言，當面臨無人機惡意尾隨或偷拍時，這種特制的「雨傘」能成為一種有效的自衛工具，保護個人安全與空間隱私。

從「視覺擾動」到「閉環攻擊」

圖2: FlyTrap攻擊方法流程：閉環仿真示意圖

FlyTrap的學術貢獻在于它實現了對「感知-控制閉環」的精準物理仿真：

尺度感知漏洞：現有的無人機跟蹤算法高度依賴物體的視覺面積來估算距離。因此，當對抗性雨傘圖案誘導跟蹤模型將邊界框尺寸預測得更小時，無人機便會「誤以為」目標在遠離，從而觸發加速補償。研究人員在論文中進一步證明（Theorem 1）：若對抗圖案使模型產生收縮率的邊界框預測偏差，無人機最終會被拉近至距離（其中λ為雨傘與人體的面積比例常數，d0為初始距離），從而精確控制攻擊距離。

對抗圖案的優化生成：為了確保攻擊在真實物理環境中的穩定性，研究人員構建了一個多目標聯合優化框架來生成雨傘圖案A：

其中T為隨機物理變換（包括光照、傾斜角度、旋轉等），各損失項分別負責不同的優化目標：
引導模型將邊界框預測縮小至攻擊目標，保持跟蹤置信度以防止目標丟失，約束人體姿態估計保持自然以提升隱蔽性，則對圖案進行平滑正則化，確保其可被物理打印。通過期望變換（EoT）優化，最終圖案對光照、角度等現實環境變化具備良好的魯棒性。

漸進式閉環模擬（PDP）：傳統的對抗攻擊往往只針對單幀靜止圖像，而 FlyTrap 面對的是持續逼近的動態控制閉環。為此，研究人員提出了漸進式距離拉近（Progressive Distance-Pulling, PDP）優化策略：在生成對抗圖案時，模擬無人機從初始距離d0逐步逼近至的完整過程，在每一距離步長處進行3D渲染并反饋梯度。這使得生成的對抗圖案能在無人機整個飛行逼近過程中持續產生累積誤差，而非僅在某一固定距離有效，從而將平均攻擊成功率從33.9%大幅提升至53.6%。

時空一致性控制:漸進式閉環模擬的優化方式也可以用來精確的控制攻擊的時空一致性，目前自主無人系統中的SOTA視覺防御手段主要依賴多模型一致性檢測（例如，人體姿態估計，人體移動時序特征）。在空間一致性方面，由于對抗樣本圖案完全由攻擊者控制，FlyTrap可以利用adaptive attack同時對多個視覺模型（例如，目標檢測，目標跟蹤，姿態估計等）進行欺騙，使得多個視覺模型的預測在空間上重疊；在時間一致性方面，因為FlyTrap可以仿真無人機拉進的過程，攻擊者可以優化視覺模型在時間維度上的一致性（例如，避免姿態估計在不同時間點發生非正常偏移）。因此，FlyTrap的設計可以從根本上繞過現有的時空一致性防御策略。

實驗評估

大疆、哈浮無人機悉數「中招」

白盒攻擊效果（White-Box Attack）

研究人員在四款主流開源跟蹤算法上系統評估了FlyTrap的攻擊效果，使用平均攻擊成功率（mASR）作為核心指標。結果如下表所示：

圖3: FlyTrap白盒攻擊效果，各開源單目標跟蹤模型mASR對比（PDP優化前后）

對比基線（直接使用目標人物照片作為圖案）的平均 mASR 僅為 36.0%，FlyTrap 的 PDP 優化策略帶來了顯著提升。

泛化性與遷移性（Universality）

為驗證攻擊的普適性，研究人員測試了圖案在未見過的新地點和新人物上的泛化能力：

• 地點泛化：在全新測試場景下，FlyTrap仍達到平均61.8%的mASR，顯著優于基線的 27.3%。

• 人物泛化：針對訓練時未出現的新目標人物，FlyTrap保持56.6%的mASR，遠超基線的15.0%。

• 地點 + 人物雙重泛化：即便地點和人物均為全新未見，仍能維持34.0%的mASR（基線僅12.6%），證明了攻擊圖案的強遷移能力。

真實商用無人機黑盒測試

為了驗證漏洞的普遍性，研究人員在真實場景下測試了多款主流商業無人機：DJI Mini 4 Pro，DJI Neo，HoverAir X1

• 攻擊成功率：在不了解任何內部算法細節的黑盒測試中，FlyTrap 對三款商用無人機的誘導成功率超過60%。

• 物理捕獲：配合簡單的網槍（Net Gun），攻擊者可以在 5-10 秒內將被「釣」過來的無人機物理捕獲。

• 碰撞擊毀：攻擊者可以將無人機拉近到1米以內從而實現物理擊毀

圖4: FlyTrap攻擊DJI Mini 4 Pro并使用網槍進行物理抓捕（示意）

圖5: FlyTrap攻擊DJI Mini 4 Pro并可對其進行物理擊毀（示意）

圖6: 第一人稱視角FlyTrap攻擊DJI Mini 4 Pro，單目標跟蹤算法被對抗性雨傘圖案誤導

總體結論

FlyTrap 的研究意義在于：它揭示了AI控制的自主無人系統的脆弱性。神經網絡長期以來被證明容易受到對抗樣本的攻擊。但是先前的工作主要集中在AI模型本身，而研究人員更加關注AI模型在真實世界中部署的安全性，如視覺模型在面對物理擾動時缺乏魯棒性，基于視覺模型的自主系統將會被攻擊者任意的操控。

研究人員認為，未來的無人機防御不能僅依賴于信號屏蔽器，而需要引入「防御性感知」——例如，通過多視角一致性校驗或基于深度估計的輔助驗證，來識別并過濾掉這種針對視覺邏輯的惡意攻擊。

作為負責任的安全研究者，研究人員已在論文發表前，將此漏洞報告給大疆（DJI）和哈浮（HoverAir）兩家無人機企業。

作者介紹

作者團隊來自加州大學爾灣分校（UC Irvine）計算機科學系。該研究由博士生謝少遠 （Shaoyuan Xie）主導，Alfred Chen教授指導。陳教授團隊長期致力于自動駕駛、無人機、機器人及智能系統的攻防和物理安全性分析，成果常年發表于S&P, USENIX Security, CCS, NDSS，CVPR，ICCV，ICLR，AAAI，ICRA，IROS等頂級會議。

參考資料：

https://arxiv.org/pdf/2509.20362