对抗性攻击轻松愚弄人工智能

对抗性攻击欺骗图像识别算法将3D打印的海龟视为步枪。资料来源:ANISH ATHALIE/LABFIX

一组研究人员在最近于瑞典斯德哥尔摩举行的国际机器学习会议上描述了他们的3D打印海龟。大多数人会说它看起来像乌龟，但是人工智能算法有不同的观点。大多数时候，人工智能认为这只乌龟看起来像一支步枪。同样，它将3D打印的棒球视为浓缩咖啡。这是“对抗性攻击”的一个例子——稍微改变的图片、物体或声音可以愚弄人工智能。[科学相关文章]

人工智能领域的一些显著进展，特别是机器学习算法，它可以在消化训练数据集后识别声音或物体，刺激了语音助手和自动车辆的发展。但是这些人工智能应用很容易被欺骗。

对抗性攻击是这次会议的热门话题。研究人员报道了各种欺骗人工智能并为其辩护的新方法。令人担忧的是，大会的两个最佳论文奖之一给出了这样的结论:它发现受保护的人工智能并不像它的开发者所想的那样安全。“我们机器学习领域的专家不习惯从安全的角度看待问题。”麻省理工学院(MIT)的计算机科学家安尼什·阿塔里(Anish Athalye)是3D打印研究的负责人之一，他说。

致力于对抗攻击研究的计算机科学家说，他们正在提供一种服务，就像黑客指出软件安全缺陷一样。"我们需要重新思考所有的机器学习方法，以使它们更强大."麻省理工学院的计算机科学家亚历山大·马德里说。

研究人员表示，这些攻击在科学上也很有用，并为理解人工智能应用程序神经网络提供了一个难得的窗口。神经网络的内部逻辑无法清楚地解释。加州大学伯克利分校的计算机科学家道恩·宋(Dawn Song)表示，这次对抗性攻击是一个强有力的镜头，“通过它我们可以了解机器学习的已有知识”。

去年，宋和他的同事在停车标志上贴了一些标签，从而欺骗了一个普通的图像识别人工智能，即它是一个时速不超过45英里的限速标志。这个结果让自动驾驶汽车公司不寒而栗。

研究人员正在设计更复杂的攻击。在另一次会议上，宋还将报告一个“诡计”，使图像识别人工智能不仅误判对象，而且产生幻觉。在一次测试中，凯蒂猫出现在机器的街景中，而路上的汽车消失了。(慢慢地)

中国科学新闻(2018-07-24，第二版国际)