在实际生活中,我们通常不会期望一个图像在经过缩小后变成另外一个模样完全不同的图像,但这样奇怪的事情可能会在人工智能领域发生。
来自德国 Braunschweig 技术大学的研究人员通过大量实验已经证明,仔细修改数码照片的像素值可以使照片在缩小尺寸后变成与之前完全不同的图像,而这些对图像的修改操作在人工智能算法领域的影响值得被广泛关注。
图像缩放技术在人工智能研究领域有着十分重要的地位,但是也存在一些挑战。其主要的问题就是,恶意攻击者可以利用这种图像缩放技术,对用于人脸识别、目标检测等计算机视觉方向的机器学习模型发起对抗性攻击。
其中,对抗性机器学习是一种对数据进行操作的技术,它能在不被人类察觉的情况下改变人工智能算法的行为,而创建对抗性的机器学习示例是一个反复试验的过程。创建对抗性示例包括对图像像素进行细微的调整,再通过 AI 算法重新运行该图像,以查看图像置信度的变化。通过适当调整后,可以自动化创建一个噪音映射(noise map)来降低一个类的置信度,而提高另一个类的置信度。
在今年 Usenix 安全研讨会上发表的一篇论文中,TU Braunschweig 的研究人员就针对机器学习系统的分级和防止对抗性图像缩放攻击进行了深入的回顾。他们的发现不断提醒我们,AI 算法许多隐藏的方面和威胁还未被发现,导致这些影响在我们的日常生活中正变得越来越突出。
对抗性图像缩放
当在许多实例上训练时,机器学习模型创建不同类之间相似性程度的数学表达。例如,如果你训练一个机器学习算法来区分熊猫和长臂猿,它就会尝试创建一个统计模型来区分新图像中的像素是更像熊猫还是长臂猿。
实际上,这些人工智能算法学习区分不同物体的方式与人类视觉的工作方式不同。大多数对抗性攻击利用这种差异,在改变机器学习系统输出的同时,进行人类肉眼无法察觉的细微调整。
例如,当你让一个人描述他是如何从图片中发现熊猫的,他可能会寻找一些目标的身体特征,比如眼睛周围的黑色毛发,黑白相间的皮毛以及体型大小。他可能还会给出其他的背景,比如他希望看到熊猫在什么样的栖息地,会摆出什么样的动作姿势等等。
而对于人工神经网络来说,只要根据公式,通过计算机程序运行图像的像素值提供正确的答案,就确信所看到的图像确实是一只熊猫。换句话说,通过正确地调整图像中的像素值,你也可以让 AI 误以为它看到的不是熊猫。
其中的细节在于,研究人员在图像上添加了一层人眼几乎觉察不到的噪声。
当新的像素值通过人工神经网络时,会产生从长臂猿的图像中所期望的结果。而在人眼看来,左右两幅图像似乎是同一只熊猫。
研究人员在他们的论文中写道:“尽管大量研究都在研究针对学习算法的攻击,但目前为止,几乎没有人关注机器学习预处理中的漏洞。”但是,当经典的对抗性攻击利用人工智能算法内部工作的特性时,图像缩放攻击就集中在机器学习流水线的预处理阶段。