抓住機器識別的缺點，能讓AI變糊涂的“新病毒”

在AI技術(shù)構(gòu)建出的未來世界藍圖中，有大量裝置是通過機器視覺這一最基礎(chǔ)的技術(shù)實現(xiàn)的。GPU的廣泛應(yīng)用給了機器快速處理圖片的能力，神經(jīng)網(wǎng)絡(luò)讓機器可以理解圖片。

正因如此，我們才能夠通過攝像頭分辨眼前這張臉是不是iPhone X的主人、從監(jiān)控錄像中找到犯罪分子的身影，以及自動分辨社交網(wǎng)站上的某張照片是否涉嫌有色情內(nèi)容。

不過機器視覺和人類視覺有著很大的差異，比如說在出現(xiàn)誤差方面，機器和人類就有很多不同。比如人類視覺往往會因為線條的排列分布而分不清究竟是直線還是曲線。

著名的黑林錯覺

但機器視覺的錯覺，往往要比人類的有趣得多。

如何欺騙愚蠢的機器視覺？

大家一定聽說過一個“欺騙”深度學(xué)習(xí)神經(jīng)網(wǎng)絡(luò)的例子，只需改變幾個像素，就能得到差異巨大的結(jié)果。

就像這張照片，前一秒神經(jīng)網(wǎng)絡(luò)還有57.7%的把握認為它是一只熊貓，可在經(jīng)歷過一點點處理后，神經(jīng)網(wǎng)絡(luò)竟然99.3%的把握認為這是一只長臂猿。可對人類來說，這兩張照片幾乎沒有區(qū)別。

出現(xiàn)這種情況的原因是，人類和機器有關(guān)“視覺”的概念是很不一樣的。人類的視覺來自于對事物的整體理解，建立于長久以來對世界的認識之上。我們看到毛茸茸的東西就會認為是動物，看到羽毛就會認為是鳥。這樣的模式讓我們的視覺是感性甚至模糊的，不光可以分辨我們認識的物品，甚至可以去分辨我們從沒見過的物品。

但機器的視覺模式就很不同了，機器學(xué)習(xí)算法本質(zhì)上是一個分類器，通過層層神經(jīng)網(wǎng)絡(luò)去分辨一張圖片是不是猴子、是不是水杯、是不是電腦、是不是……最后輸出結(jié)果，告訴人們這張照片有90%的可能是水杯，還有40%的可能是一顆樹。

這時要想讓機器產(chǎn)生錯覺就很容易了。假如我們想要讓機器把水杯“看成”樹，就要找到機器眼中兩種物品的臨界點。一張圖片在機器眼中，只是無數(shù)像素點的排列，如果輕微的改變這些像素的排列，讓他們越過這個臨界點，機器就會犯錯。

結(jié)果就是，要不機器會把兩張人眼中完全一樣的圖片看成兩種完全不同的東西，要不會把一張不知所云的圖片看成物品或動物。

對抗樣本：讓機器變糊涂的新病毒

這種能欺騙機器的圖片還有個名字，叫對抗樣本。我們可以把對抗樣本理解為一種攻擊機器視覺的“病毒”，面對不同的機器學(xué)習(xí)算法會有不同的樣本生成方式，最終目的只有一個，那就是混淆機器的視覺。

可怕的是，目前還沒有什么好的方式去解決這種病毒。只能不斷的自己生成樣本進行對抗，或者不斷壓縮模型類別標簽的大小，讓攻擊者難以找到其中的臨界點。

不過我們也不必對這種病毒太過恐懼，目前大部分對抗樣本為了加強機器視覺的精確度而特地生成的。很難自然發(fā)生在現(xiàn)實應(yīng)用場景中，畢竟你不能改變自己臉上的像素點分布。

尤其當(dāng)對方不能直接訪問算法模型時，制造出對抗樣本的成本也會很高。舉個例子說，如果有博主想依靠在社交媒體上發(fā)布色情內(nèi)容來盈利，就要首先訓(xùn)練出一個能對所有圖片進行微調(diào)，并且還能欺騙過社交媒體審核算法的對抗模型。再對每天需要發(fā)布的圖片進行處理。有這個時間、金錢成本和技術(shù)，早就可以去AI初創(chuàng)企業(yè)拿百萬年薪了。

所以，我們大可不必擔(dān)心對抗樣本會對現(xiàn)實產(chǎn)生什么影響。直到一群來自Google的專家又想出了產(chǎn)生對抗樣本的新方法。

讓AI一秒變傻的迷幻藥

看到以上的幾個圖案，人類會有什么感覺？或許會認為是哪個新銳藝術(shù)家的“迷幻大作”吧。

可機器看到這些圖案，會立刻被迷的暈頭轉(zhuǎn)向，分不清眼前的圖案就是是什么了。Google的專家做了一組實驗，把這些小圓圖案放到機器能分辨的圖片上，機器就會立刻給出不同的答案。

如圖所示，前一秒機器還能看出這是一根香蕉，加上這個小圓片之后，機器就篤定這是一臺吐司機。

其中的原理是，神經(jīng)網(wǎng)絡(luò)識別物體依靠的是圖片中的特征，只要某一分類的特征濃度夠高，神經(jīng)網(wǎng)絡(luò)就會忽略其他因素，直接給出答案。這些迷幻的小圓片，可以被理解為某一種物體特征的高度濃縮，出現(xiàn)在圖片中時，神經(jīng)網(wǎng)絡(luò)就會立刻被這些特征吸引，忽略圖片中的其他信息。

也就是說，過去我們需要經(jīng)過復(fù)雜的處理才能讓某一張圖片欺騙神經(jīng)網(wǎng)絡(luò)，現(xiàn)在我們可以把這些小圓片批量加入到圖片當(dāng)中，讓他們?nèi)ヅ科垓_神經(jīng)網(wǎng)絡(luò)。

想逃過AI的眼睛，只需一張神奇的小貼紙

這樣一來，事情的發(fā)展就變得很恐怖了。

首先，制作對抗樣本一下子變成了一種成本極低的事情，可能只要一張貼片，就能欺騙過整個模型。在上述的色情圖片審核案例中，我們就找到了一個很好的解決方案。更可怕的是，如果用機器視覺來檢測毒品、武器等等，是不是也能用這種方式逃之夭夭？

更可怕的是，這種方式可能讓對抗樣本進入物理世界。以往我們不能改變真實世界中的像素點，但如果把這些小圖案變成貼紙粘在各個地方，或許就可以改變很多東西。

例如自動駕駛通過攝像頭來識別交通標示，如果在限速、停止牌上都貼上貼紙，駕駛系統(tǒng)會不會將其視若無物，讓整個世界亂套？而犯罪分子想要讓自己的面孔從天網(wǎng)中逃離，也不必像《換臉》中一樣動刀整容，只要在臉上貼張貼紙，就變成了行走的吐司機。

當(dāng)然了，這幾張貼紙也無非是提出了一種可能而已，并不是現(xiàn)在就可以利用它們做什么壞事。但這場實驗告訴了我們，AI的安全程度比我們想象中要更低。讓AI進入物理世界，恐怕還要再多做點準備呢。

生成海報

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）