互动科普

或许很快，天空中就将出现一队队无人机来巡查森林火情或者投送快递了。但是，无人机存在很多安全漏洞，用一些简单的技术就能轻易劫持它们。

撰文：凯尔·韦森（Kyle Wesson） 托德·汉弗莱斯（Todd Humphreys）

翻译：王栋

事后，该事件的调查人员声称，这架长9.7米、重1,429千克的MQ-8B“火力侦察兵”遇到了一点“软件问题”，这导致它和操控员之间的通信连接中断，美国马里兰州帕塔克森特河海军航空站 （Naval Air Station Patuxent River）地面控制室里的操控员们干坐在那里无能为力。更糟糕的是，连接中断后，无人机并没有执行返回基地的软件指令。这架用于战舰侦查的“火力侦察兵”，甚至闲庭信步地溜达进了“空军一号”在安德鲁斯空军基地起降时使用的空域。

经过了令人心烦意乱的30分钟后，操控员们终于再次建立了通信连接，并夺回了控制权。事后，美国海军一位官员还试图粉饰这一事件，赞扬无人机在这次意外旅行中的表现，例如自动驾驶系统成功地保持了无人机的航向及高度。

“火力侦察兵”的这次“迷途之旅”给我们上了一课，让我们看到了无人机存在的巨大安全隐患。如今，这些以军事侦察和武力打击闻名的无人机也开始执行各种各样的和平任务了。美国联邦航空管理局（Federal Aviation Administration，FAA）估计，到2020年，将有超过10 000架无人机飞翔在美国的空中航线上。或许很快，无人机将开始参与搜寻救援、作物喷粉、电力线路巡查、科学研究以及其他各种各样的任务。

无人机的优势显而易见：不需要飞行员，所以也不需要配备驾驶舱以及容纳机组人员和乘客的客舱，无人机能为商业飞行活动节省大量开支。例如，租用有人驾驶飞机来进行一次输电线路检测的开销，都够电力公司购置一整套无人机系统了，公司可以用它在接下来的许多年里完成同样的工作。无人机的“魅力”同样吸引了一些美国最大的公司的注意。例如，美国联邦快递（FedEX）的创始人兼CEO弗雷德里克·W·史密斯（Frederick W. Smith）就已经提到，计划使用无人机来替换公司现有的包裹运送机队。

甚至连美国国会都开始认识到，商用无人机时代必将到来。2012年2月，美国国会通过了《2012年度美国联邦航空管理局现代化及改革法案》，指示美国联邦航空管理局起草“一个综合规划方案，在保证安全的前提下，加速美国国内无人机系统整合入全国空管系统的步伐”，并于2015年之前完成。

不幸的是，对于监管这些从本质来说属于遥控机器人的无人机，美国联邦航空管理局看来很难及时做好准备了。无人机的广泛应用令航空管理局的职责范围扩大，超越了其传统角色（例如确保两架波音737保持彼此之间的距离，或应对糟糕的天气变化）。虽然在9·11之后，航空管理局的职责扩展地相当多，甚至包括了飞机安全问题（例如，负责监督加强型驾驶舱门的安装），但未来成群的无人机在空中穿梭的情景，还是给目前准备不足的航空管理局，带来了更复杂的安全挑战。

至关重要的通信连接

在这些挑战中，最艰巨的任务是确保无人机的无线连接。为了操控无人机爬升、下降、倾斜或者前进，需要三个主要通信连接：GPS卫星传入的导航信号；告知其他飞机无人机行踪的一种或多种信号；还有操控无人机的地面控制人员与无人机间的双向连接信号。这三个连接信号中，任何一个被破坏都会导致灾难。而且在某些情况下，没有能够保障这些连接安全的有效技术手段。

在无人机的导航系统中，GPS是关键，同时还有惯性制导传感器、磁力仪、高度计、甚至摄像机等辅助设备。GPS接收器在导航系统中占主要地位，与其他设备不同，它能在各种天气条件下保证定位的准确性。

与军用GPS不同，民用版本是自由接入、非加密的。民用GPS非常流行，能够连续不断地为智能手机和运动手表等设备传送信号，但没有任何验证方式，这是一个很危险的漏洞。伪造的GPS信号能轻易地取代真实信号——这一过程被称为“电子欺骗”（spoofing）。

2012年6月，在美国新墨西哥州白沙导弹实验场（White Sands Missile），我们实验室演示了无人机在应对GPS电子欺骗时的脆弱性，以及造成的严重后果。在约500米远的位置，电子欺骗设备成功地“劫持”了一部价值8万美元的无人机。这部自制的电子欺骗设备发射了一个近乎完美的假冒卫星信号，来为无人机提供坐标。因为无法区分信号的真假，无人机选择了接收我们发出的更强的信号来为其导航。

一旦上当，这部无人机就会完全听从欺骗设备的位置指令。当传向无人机的虚假信号显示，无人机是在垂直上升时，这部飞行机器人就会忠实地按照自动驾驶系统的程序来降低高度，以保持预定的飞行高度。由于它是依据错误数据来调整高度，这部无人机实际上开始直冲沙漠地面而去。要不是一位操作员镇定地撤销了欺骗指令，恢复手动操控，这部无人机就会坠毁在沙漠里了。

至少在10年前，人们就已经认识到“电子欺骗”的危险性了，美国交通部在2001年的一份报告中就以文件的形式证明了“电子欺骗”的威胁。但政策制定者和GPS生产商基本上都忽视了那份报告中的警告，直到最近才有所关注。原因可能是真正发生攻击的可能性很小，不足以引起重视。不过，要通过技术手段来修补这个漏洞并不容易。利用“加密水印”（cryptographic watermarking，一种用于识别信号的来源，并确认其信息内容的安全数字签名）来保护GPS信号的技术，还需要很多年的时间才能投入使用；而那些可以早点投入使用的非加密技术，其有效性还有待证明。

对于依赖GPS导航的无人机来说，“电子欺骗”并不是它们面临的唯一威胁。阻止无人机接收导航信号也出人意料的容易。GPS信号到达地球表面附近时，已经十分微弱了，其通量密度（衡量信号强度的量值）至多相当于22,000千米外的一个50瓦电灯泡传来的光线。干扰设备可在GPS信号使用的无线电波段中制造噪音来搞破坏。几乎任何的现代电子系统，甚至普通笔记本电脑，都能向附近的GPS接收器发送噪音，无意中就会对GPS信号造成干扰。

专门设计用于干扰的设备，能以更加有效的方式扰乱无人机的导航系统。2012年5月，韩国的一部Camcopter S-100型侦察无人机（重150千克，由西贝尔公司研制）失去控制，最后坠毁于地面控制站内，导致一名工程师死亡，两名操控员受伤。在引起这起灾难的一连串因素中，韩国的GPS受到干扰的可能性最大，当然韩国的无人机操控员也犯了一些错误。这一事件和我们的电子欺骗演示表明，要想保证无人机安全地飞翔在我们头顶上空，能够抵抗电子欺骗和干扰问题的安全导航系统，是至关重要的。

如何避免相撞

无人机有可能在空中与其他飞机相撞，这让无人机更加难以被人们认可。在传统飞机上，飞行员利用目测和雷达来查看附近是否有其他飞机并避免相撞。然而，要想让无人机达到这种常规水平的警觉性，还有一段很长的路要走。美国审计总署（Government Accountability Office）在2012年的一份报告中指出：“现在还没有什么合适的技术，可以使无人机具备感知及避让其他飞机或空中物体的能力，”以符合美国联邦航空管理局的规定。

要想使无人机具备避让其他飞机的能力，将是一个非常大的挑战，因为无人机空间狭小，根本无法装载现有的那些非常笨重且高能耗的机载雷达系统。可见光及红外线摄相机是一个廉价且合理有效的替代方式，可惜它们无法穿透云层。

最终，无人机可能会借助“广播式自动相关监视”（Automatic Dependent Surveillance-Broadcast，ADS-B）技术。ADS-B收发器每秒都会发布关于本机位置和速度的信息，并从附近的飞机那里接收类似信息。到2020年，作为全面改革空中交通系统的一部分，美国联邦航空管理局将要求所有具备飞行执照的飞机，无论大小，必须装备ADS-B收发器。只要附近有飞机，无论有人还是无人驾驶，都会通过ADS-B收发器发布自身的位置和速度信息，这样就能协助飞机寻找安全航线，避免相撞。

不过，就像民用GPS一样，ADS-B也有一个致命弱点：其信号传输是未经验证的，因此可以伪造。上世纪90年代ADS-B刚刚开始研发时，几乎不用担心其安全性，因为发送虚假ADS-B信息几乎是不可能的。而现在，伪造ADS-B的成本和技术门槛已经大大降低。2012年，美国俄亥俄州空军技术学院（Air Force Institute of Technology）的研究人员演示了这种技术，只需使用简单便宜的天线，就可轻易地编码错误信号并在地面或空中发送，从而进行各种各样的攻击。这种“伪造注入”（false injection）攻击会让飞机认为马上要与别的飞机相撞。

这种技术能够发送数百条虚假信息，或者阻止接收真实信息。与有人驾驶飞机相比，虚假ADS-B信息对小型无人机的影响更大。在有人机上，飞行员能够利用机载雷达，迅速地验证是否真的要与其他飞机相撞，但无人机缺乏类似的技术。

美国联邦航空管理局希望，利用多点定位（multilateration）技术来应对虚假ADS-B信息的威胁。这种技术是通过测量传输信号抵达多个地面接收站的时间，从而确定传输源的方位，并将信息反馈给空中的飞机。然而，可靠的多点定位技术依赖于某种非常精确的、可替代GPS的系统，而这种系统的价格，目前还非常高。

无人机与操控员之间的连接信号是一种被称为“命令—控制”式的无线电连接，无人机完全受这条看不见的无线绳缆控制。乍一看来，无线电连接似乎比GPS或ADS-B安全隐患少一些，因为这些信号有现成的安全通信协议，应该足以抵御电子欺骗设备和其他恶意攻击行为。

然而，这种信号仍可被阻拦。蓄意干扰或者持续故障都可能导致无人机失去控制（用专家的话叫“失连”），对此还没有令人满意的解决方法。通常，操控员会给为无人机设置一个“失连”协议（例如，如果无线电连接中断超过30秒，就会指示飞机返回基地），但这类协议能够生效的基础是，无人机的导航和控制系统都正常工作。然而问题是，导航系统本身就易遭到劫持；控制系统也有可能由于软件故障而失灵，从而出现类似2010年“火力侦察兵”无人直升机“勇闯华盛顿”的情形。

监管人员面临的另一个难题是，是否能够找到一个无线电波段，专门用于“命令-控制”信号的传输。由于无线电波段资源不足，许多无人机将不得不使用不受保护的波段来传送指令，而这些波段已经用于其他种类的无线电传输。大量合法占用这些波段的电子系统，在发射信号时会造成无意干扰，很容易影响到无人机。

挑战不断

要保证无人机的安全性，不仅在技术方面非常复杂，还需要同效率低下又不愿承担风险的一些机构做斗争，同时在法律上也会遇到巨大阻力。监管机构必须认真对待飞机驾驶方式的根本性变革——不再需要真实的驾驶员端坐驾驶舱，手握驾驶杆，眼盯挡风窗。取而代之的是，操控员预先将航线输入计算机，用一个类似游戏手柄的设备来操控无人机，并监控一系列无线通信连接，保证它始终由操控员“牵着走”。在飞行途中，操控员就像操纵遥控玩具飞机一样，只不过这架“玩具飞机”可能重达数吨。而在另一些情况下，无人机还可能完全自动飞行。

在美国国会新的授权下，航空管理局承担起了新的责任：保证在空中交通系统方面，开发出新技术，以确保无人机能同大到380大型喷气式客机，小到单引擎Piper幻影飞机，安全地共享领空。这意味着美国联邦航空管理局必须制定法规，确保无人机在失去控制或导航信号的情况下也不会带来危险。

美国联邦航空管理局具有无与伦比的安全纪录，当然这是有原因的，某种程度上来说得益于它在采用新技术（可能扰乱空中交通系统平稳流畅运行）时一贯的谨慎态度。现在，该部门的官员们必须应对管理无人机这一艰难挑战，尤其是它们已经成为了一个被广泛应用的现代化项目——下一代空中交通系统（Next Generation Air Transportation System，NextGen）中不可或缺的一部分。该项目将使用卫星导航来替代雷达。理论上，美国国土安全部（Department of Homeland Security）应该提供协助，但安全部的官员们反复声明，他们不认为无人机的安全问题属于他们的工作范围。

在酝酿制定法规的过程中，美国联邦航空管理局在无人机这个问题上，还得考虑公共安全与经济利益间的平衡问题。如果要求所有获得执照的无人机必须时刻保持在操控员的视线内，无人机被劫持的可能性将会非常小，但这也会让无人机在很多应用领域毫无用武之地。无人机技术还引发了此前并不归航空管理局管辖的隐私问题。现在，隐私权拥护者和国会议员们正在要求该部门出台相关法规，来管理那些配备了高清摄像机、可以随意盘旋在郊外后院上空的无人机。

同时，由于公众多是通过晚间新闻中的录像来了解无人机，这些录像都是强调无人机在美国以外的冲突地区进行监视和导弹攻击，因此许多立法者找不到什么支持无人机的理由。结果，到目前为止，美国至少有42个州颁布了法规，限制无人机的使用。得克萨斯州众议院第912号法案规定，在未得到私有房产所有者“明确同意”的情况下，无人机操控员利用无人机对其拍照摄像是违法行为。在国家层面，已经提议的“2013年度美国隐私保护法案”，将禁止执法机构在没有法院授权的情况下使用无人机进行监视；法案还宣布，无论是执法机构或个人，禁止在美国领土使用武装无人机。

无人机技术广泛应用还存在很多技术和法规上的问题，美国国会听证会上那些立法者忧虑的论调，都可能会使无人机应用的步伐减慢，但却无法阻止。在考虑无人机的安全问题时，也需要将目光放长远一些。长久以来，无人机拥有的弱点，在机长、驾驶员齐全的航空世界里同样存在。飞机仍有可能遭到劫持，飞行员被胁迫，通信连接也可能中断。但我们坚持飞行，不是因为我们对风险一无所知，而是其便捷性远远超过这些风险，对于无人机，我们也会做出同样的妥协让步。