人工智能看走眼的图像都长什么样？

人工智能看走眼的图像都长什么样？

威廉·吉布森写于2010年的小说《零 历史》中有这样一个场景:一个角色穿着迄今为止“最丑的t恤”进行了一次冒险的袭击，而这件t恤 可以躲过数字电视(CCTV)。尼尔·斯蒂芬森(NealStephenson)在《机械时代》中写的小说《Snow Crash》中，利用位图文件图像来传输可以扰乱网络黑客大脑频率的病原体，依靠电子计算机改进的视觉神经来侵蚀整体目标的思维。比如这样的短篇小说，就产生了一种周而复始的科幻描述:一个普通的图像，就具有摧毁电子计算机工作的能力。

无论如何，这个定义并不是完全捏造的。去年学者只戴了带图案的 眼镜，一个商业人脸识别系统软件做了不正确的识别。图案眼镜是在眼镜框上贴上有魔法颜色的纸贴纸。图案的扭曲和曲线对人来说是任意的，但电子计算机要识别戴着图案眼镜的人脸上的五官，这张脸的轮廓非常相似。图案眼镜不能像吉布森的“最丑的 T恤”那样轻易从闭环控制电视中抹去，但它可以让人工智能误以为你是修女或其他人。

将学者的识别结果与模式眼镜及其面部识别系统软件进行匹配。

这种围攻包含在很多类型的网络信息安全中，被称为“攻击性机器 学习”(因为敌人的存在而经常被这样称呼，其中敌人是网络黑客)。在这个行业中，“最丑的 T恤”及其侵蚀人大脑的位图文件，在科幻片中主要被描述为“对抗性影像”或“傻瓜影像”，但对抗性围攻的方式是有的，比如音频，甚至文字。2010年初 ，很多精英团队分别发现了这种情况的存在。他们普遍把能够对数据和信息进行分类的深度学习系统软件“支持向量机”作为他们的总体目标。比如谷歌图片中的优化算法，可以给你的照片标注食材、暑假、宠物。

对于人们来说，傻子形象就像是一个任意的扎染设计或者是一个突如其来的电视噪音；但是，对于图像支持向量机，它可以自信地说:“看，那是一只长臂猿”或者“这么醒目的鲜红色摩托车”。就像蕾丝眼镜让面部识别系统软件识别错误一样，支持向量机解决了人们一直无法识别的图像视觉效果特征。

这种模式设计可以通过各种方式绕过人工智能系统软件，对于未来需要人工智能识别物体的行业，如防护系统、工业机器人、无人驾驶汽车等，都有积极的意义。2015年相关傻瓜形象毕业论文的合著者JeffClune 告诉 Verge:“想象一下，你在军队中，已经应用了一个全自动d头瞄准目标。你万万没想到你的对手在医院门诊楼顶摆出对抗的形象，系统软件锁定攻击医院门诊；或者你已经用同样的系统软件追踪过你的对手，你从来不喜欢被一个傻傻的图像所愚弄。[还有] 你刚开始用你的无人飞机抓着不正确的整体目标车。」

傻瓜图像的匹配结果及其人工智能识别。

这个场景是假设的，但是分析起来是非常可行的，如果再按照今天人工智能方式的发展趋势。Clune 说:“没毛病。这是一个科研共同体必须相互处理的问题。防守对抗进攻的挑战有两个层面:我们不仅不确定如何合理反击当前的进攻，大量高效的进攻组合也在稳步增长。Clune 和联合创作者JasonYosinski和AnhNguyen 讲述了容易被人发现的傻瓜形象。它们就像视觉效果的幻觉或最初的互联网造型艺术，充满了多种色调的颜色和图案，但它们可以以一种更相互的方式应用。

扰动可用于Instagramps滤镜等图像

有一种对抗性的图像，学者称之为“微扰”，人眼基本看不到。它以照片表面 像素的波纹形式存在，可以作为Instagramps滤镜使用。这种扰动是在2013年发现的。学者在2014年的一篇毕业论文 题为《对抗性案例的解释与应用 举例》(连接:https://arxiv.org/ABS/1412.6572)中，论证了扰动的协调能力。扰动有能力欺骗一整套不同的支持向量机，甚至是那些没有经过攻击训练的支持向量机。一项名为“通用 对抗性 扰动”(链接:https://arxiv.org/pdf/1610.08401v1.pdf)的科学研究基于其在许多不同神经网络上检测扰动的成功，改进了这一功能。上个月，它引起了

左边是初始图像，中间是扰动图像，右边是扰动图像。

在人工智能系统软件中应用傻瓜式图像黑客技术有一定的局限性。首先，制作加扰图像需要花费大量时间，这使得人工智能系统软件感觉看到了一个独特的图像，而不是导致任何不准确。第二，为了在开始时更好地转化为扰动，你经常——但不总是——必须获得你需要 *** 纵的系统软件的内部代码。第三，攻击并不总是高效的。毕业论文《普适对抗性扰动》中提到，一个在一个互联网通过率为 90%的扰动，在另一个互联网可能只有50-60%的通过率。(换句话说，如果一个有问题的支持向量机已经引导了一辆无人驾驶的半卡车，即使 50%的错误率也是完全毁灭性的。)

为了更好地捍卫傻瓜形象，技术工程师们开始了“对抗训练”。需要为支持向量机输入对抗性的图像，让支持向量机学会训练识别并忽略它们，就像私人保镖根据面部照片识别禁止进入夜总会的人一样。可悲的是，正如宾夕法尼亚莱斯大学毕业生 Nicolas Papernot(他写了很多关于对抗攻击的毕业论文)所言，即使是这种训练，在“计算密集对抗措施”面前也是非常敏感的(也就是说，如果你在系统软件中键入足够多的图像，最终还是会出错)。

扰动图像及其匹配的人工智能识别结果。

更重要的是，还不清楚这种攻击为什么有效或不成功。一种表现是使用对抗性图像，这是一种被称为“管理决策边界”的特征，存在于许多人工智能系统软件中。这种界限不是由此可以看出的标准。例如，它们控制系统软件如何区分Leo和leopard。一个非常简单的只区分这两种小动物的新型人工智能项目，最终会创造出一个意境图。想象在一个 X-Y 平面图中:人工智能系统软件看到的所有小豹子都分散在右上方，而豹子分散在左下方。这两条部分分开的平行线——狮子座和狮子座的边界，狮子座和狮子座的边界——叫做管理决策边界。

Clune 说，对于分类来说，管理决策边界的困难在于它过于积极和决定性。“你对神经网络所做的一切就是训练它们在各种数据信息之间画线，而不是对它们建模以识别它们是指豹子还是狮子座。像这样的系统软件，实际上可以按照一个清晰多样的方法来 *** 作。为了更好地欺骗Leo-Leopard解析器，您可以拍摄一张狮子的照片，并将它的特征推到独特的极端，但仍然使它变成一个正常的狮子座:给它前爪，它的前爪有校车那么大，它的软毛又长又软，就像被照亮的阳光。对于人来说，它是无法识别的，但对于一个检查管理决策边界的人工智能系统软件来说，它只是一个极端的狮子座。

众所周知，对抗性的图像在现实世界中从未造成伤害。但是谷歌人类大脑的科学研究生物学家、《解释和利用对抗性例子》的合著者IanGoodfellow ，觉得这种潜在的威胁从来没有被忽视过。Goodfellow 说:“科学研究团体，尤其是谷歌，已经认真对待这个问题。“此外，每个人都在努力关注具有更强发展趋势的防御措施。很多机构，比如埃隆·埃隆·马斯克创立的 OpenAI，都在这个阶段开展或进行过对抗攻击的科学研究。现阶段的结果是暂时没有应用新技术，但对于这种攻击在现实世界中能造成多少威胁，学者们还没有达成一致。比如攻击无人驾驶汽车的方式有很多种，不依赖复杂的摄动。

Papernot 认为人工智能系统的软件存在不足为奇——支持向量机被训练成“具有良好的均值主性能，但不总是最差的主性能——这是从安全角度出发的典型观点。换句话说，与其平均值的主要表现相比，学者们更不担心系统软件的毁灭性不准确。”Clune 说:“解决管理决策复杂边界的一个方法是，让图像支持向量机知道它们无法对哪些一般目标进行分类，而不是试图将数据归入某一类别。」

此外，对抗性的攻击也引发了更深层次的整合思考。同样的傻瓜图像，能扰乱谷歌、Mobileye或脸书自主研发设计的人工智能系统软件的“思维”，一般说明现在的人工智能是独一无二的，是不足的。

“这就好像所有这些不同种类的互联网都坐在一起，互相告诉对方，为什么如此愚蠢的人类不能理解这张杂七杂八的图片实际上是一个海螺，”克鲁恩说。“那很有趣，也很神秘；这一切互联网都愿意这种疯狂不自然的形象其实属于相似。这种程度的融合是惊人的。」

对于Clune的朋友JasonYosinski来说，对傻瓜形象的研究表明，人工智能和自然创造的智能有着惊人的相似之处。他注意到，人工智能犯下的类似错误及其管理决策边界也存在于神话般的大自然中，小动物被“超类刺激”愚弄。

这种刺激是人类版的自然情境，唆使小动物违背自己的本性。这个个体的行为最早是在20世纪50年代发现的，当时学者们用它来敦促鸟类忽略自己的蛋，以支持更丰富多彩的假货，或者敦促红腹刺鱼作为竞争对手与废物战斗。如果在废物上画一个红色的大肚子，鱼就会在它们之间打架。曾经有人认为人沉迷于个人行为，比如中式快餐，色情文学，也是超阶级刺激的例子。有鉴于此，大家认为人工智能罪不正确也就顺理成章了。但遗憾的是，每个人都必须具备与人工智能合作的能力，以防止这种不准确，主要表现在更强。

全文地址:http://www.theverge.com/2017/4/12/15271874/ai-广告-图片-餐饮-攻击-人工-智能