抓住機(jī)器識(shí)別的缺點(diǎn)，能讓AI變糊涂的“新病毒”

在AI技術(shù)構(gòu)建出的未來世界藍(lán)圖中，有大量裝置是通過機(jī)器視覺這一最基礎(chǔ)的技術(shù)實(shí)現(xiàn)的。GPU的廣泛應(yīng)用給了機(jī)器快速處理圖片的能力，神經(jīng)網(wǎng)絡(luò)讓機(jī)器可以理解圖片。

正因如此，我們才能夠通過攝像頭分辨眼前這張臉是不是iPhone X的主人、從監(jiān)控錄像中找到犯罪分子的身影，以及自動(dòng)分辨社交網(wǎng)站上的某張照片是否涉嫌有色情內(nèi)容。

不過機(jī)器視覺和人類視覺有著很大的差異，比如說在出現(xiàn)誤差方面，機(jī)器和人類就有很多不同。比如人類視覺往往會(huì)因?yàn)榫€條的排列分布而分不清究竟是直線還是曲線。

著名的黑林錯(cuò)覺

但機(jī)器視覺的錯(cuò)覺，往往要比人類的有趣得多。

如何欺騙愚蠢的機(jī)器視覺？

大家一定聽說過一個(gè)“欺騙”深度學(xué)習(xí)神經(jīng)網(wǎng)絡(luò)的例子，只需改變幾個(gè)像素，就能得到差異巨大的結(jié)果。

就像這張照片，前一秒神經(jīng)網(wǎng)絡(luò)還有57.7%的把握認(rèn)為它是一只熊貓，可在經(jīng)歷過一點(diǎn)點(diǎn)處理后，神經(jīng)網(wǎng)絡(luò)竟然99.3%的把握認(rèn)為這是一只長(zhǎng)臂猿。可對(duì)人類來說，這兩張照片幾乎沒有區(qū)別。

出現(xiàn)這種情況的原因是，人類和機(jī)器有關(guān)“視覺”的概念是很不一樣的。人類的視覺來自于對(duì)事物的整體理解，建立于長(zhǎng)久以來對(duì)世界的認(rèn)識(shí)之上。我們看到毛茸茸的東西就會(huì)認(rèn)為是動(dòng)物，看到羽毛就會(huì)認(rèn)為是鳥。這樣的模式讓我們的視覺是感性甚至模糊的，不光可以分辨我們認(rèn)識(shí)的物品，甚至可以去分辨我們從沒見過的物品。

但機(jī)器的視覺模式就很不同了，機(jī)器學(xué)習(xí)算法本質(zhì)上是一個(gè)分類器，通過層層神經(jīng)網(wǎng)絡(luò)去分辨一張圖片是不是猴子、是不是水杯、是不是電腦、是不是……最后輸出結(jié)果，告訴人們這張照片有90%的可能是水杯，還有40%的可能是一顆樹。

這時(shí)要想讓機(jī)器產(chǎn)生錯(cuò)覺就很容易了。假如我們想要讓機(jī)器把水杯“看成”樹，就要找到機(jī)器眼中兩種物品的臨界點(diǎn)。一張圖片在機(jī)器眼中，只是無數(shù)像素點(diǎn)的排列，如果輕微的改變這些像素的排列，讓他們?cè)竭^這個(gè)臨界點(diǎn)，機(jī)器就會(huì)犯錯(cuò)。

結(jié)果就是，要不機(jī)器會(huì)把兩張人眼中完全一樣的圖片看成兩種完全不同的東西，要不會(huì)把一張不知所云的圖片看成物品或動(dòng)物。

對(duì)抗樣本：讓機(jī)器變糊涂的新病毒

這種能欺騙機(jī)器的圖片還有個(gè)名字，叫對(duì)抗樣本。我們可以把對(duì)抗樣本理解為一種攻擊機(jī)器視覺的“病毒”，面對(duì)不同的機(jī)器學(xué)習(xí)算法會(huì)有不同的樣本生成方式，最終目的只有一個(gè)，那就是混淆機(jī)器的視覺。

可怕的是，目前還沒有什么好的方式去解決這種病毒。只能不斷的自己生成樣本進(jìn)行對(duì)抗，或者不斷壓縮模型類別標(biāo)簽的大小，讓攻擊者難以找到其中的臨界點(diǎn)。

不過我們也不必對(duì)這種病毒太過恐懼，目前大部分對(duì)抗樣本為了加強(qiáng)機(jī)器視覺的精確度而特地生成的。很難自然發(fā)生在現(xiàn)實(shí)應(yīng)用場(chǎng)景中，畢竟你不能改變自己臉上的像素點(diǎn)分布。

尤其當(dāng)對(duì)方不能直接訪問算法模型時(shí)，制造出對(duì)抗樣本的成本也會(huì)很高。舉個(gè)例子說，如果有博主想依靠在社交媒體上發(fā)布色情內(nèi)容來盈利，就要首先訓(xùn)練出一個(gè)能對(duì)所有圖片進(jìn)行微調(diào)，并且還能欺騙過社交媒體審核算法的對(duì)抗模型。再對(duì)每天需要發(fā)布的圖片進(jìn)行處理。有這個(gè)時(shí)間、金錢成本和技術(shù)，早就可以去AI初創(chuàng)企業(yè)拿百萬年薪了。

所以，我們大可不必?fù)?dān)心對(duì)抗樣本會(huì)對(duì)現(xiàn)實(shí)產(chǎn)生什么影響。直到一群來自Google的專家又想出了產(chǎn)生對(duì)抗樣本的新方法。

讓AI一秒變傻的迷幻藥

看到以上的幾個(gè)圖案，人類會(huì)有什么感覺？或許會(huì)認(rèn)為是哪個(gè)新銳藝術(shù)家的“迷幻大作”吧。

可機(jī)器看到這些圖案，會(huì)立刻被迷的暈頭轉(zhuǎn)向，分不清眼前的圖案就是是什么了。Google的專家做了一組實(shí)驗(yàn)，把這些小圓圖案放到機(jī)器能分辨的圖片上，機(jī)器就會(huì)立刻給出不同的答案。

如圖所示，前一秒機(jī)器還能看出這是一根香蕉，加上這個(gè)小圓片之后，機(jī)器就篤定這是一臺(tái)吐司機(jī)。

其中的原理是，神經(jīng)網(wǎng)絡(luò)識(shí)別物體依靠的是圖片中的特征，只要某一分類的特征濃度夠高，神經(jīng)網(wǎng)絡(luò)就會(huì)忽略其他因素，直接給出答案。這些迷幻的小圓片，可以被理解為某一種物體特征的高度濃縮，出現(xiàn)在圖片中時(shí)，神經(jīng)網(wǎng)絡(luò)就會(huì)立刻被這些特征吸引，忽略圖片中的其他信息。

也就是說，過去我們需要經(jīng)過復(fù)雜的處理才能讓某一張圖片欺騙神經(jīng)網(wǎng)絡(luò)，現(xiàn)在我們可以把這些小圓片批量加入到圖片當(dāng)中，讓他們?nèi)ヅ科垓_神經(jīng)網(wǎng)絡(luò)。

想逃過AI的眼睛，只需一張神奇的小貼紙

這樣一來，事情的發(fā)展就變得很恐怖了。

首先，制作對(duì)抗樣本一下子變成了一種成本極低的事情，可能只要一張貼片，就能欺騙過整個(gè)模型。在上述的色情圖片審核案例中，我們就找到了一個(gè)很好的解決方案。更可怕的是，如果用機(jī)器視覺來檢測(cè)毒品、武器等等，是不是也能用這種方式逃之夭夭？

更可怕的是，這種方式可能讓對(duì)抗樣本進(jìn)入物理世界。以往我們不能改變真實(shí)世界中的像素點(diǎn)，但如果把這些小圖案變成貼紙粘在各個(gè)地方，或許就可以改變很多東西。

例如自動(dòng)駕駛通過攝像頭來識(shí)別交通標(biāo)示，如果在限速、停止牌上都貼上貼紙，駕駛系統(tǒng)會(huì)不會(huì)將其視若無物，讓整個(gè)世界亂套？而犯罪分子想要讓自己的面孔從天網(wǎng)中逃離，也不必像《換臉》中一樣動(dòng)刀整容，只要在臉上貼張貼紙，就變成了行走的吐司機(jī)。

當(dāng)然了，這幾張貼紙也無非是提出了一種可能而已，并不是現(xiàn)在就可以利用它們做什么壞事。但這場(chǎng)實(shí)驗(yàn)告訴了我們，AI的安全程度比我們想象中要更低。讓AI進(jìn)入物理世界，恐怕還要再多做點(diǎn)準(zhǔn)備呢。

生成海報(bào)

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）