在實(shí)際生活中，我們通常不會(huì)期望一個(gè)圖像在經(jīng)過(guò)縮小后變成另外一個(gè)模樣完全不同的圖像，但這樣奇怪的事情可能會(huì)在人工智能領(lǐng)域發(fā)生。

來(lái)自德國(guó) Braunschweig 技術(shù)大學(xué)的研究人員通過(guò)大量實(shí)驗(yàn)已經(jīng)證明，仔細(xì)修改數(shù)碼照片的像素值可以使照片在縮小尺寸后變成與之前完全不同的圖像，而這些對(duì)圖像的修改操作在人工智能算法領(lǐng)域的影響值得被廣泛關(guān)注。

圖像縮放技術(shù)在人工智能研究領(lǐng)域有著十分重要的地位，但是也存在一些挑戰(zhàn)。其主要的問題就是，惡意攻擊者可以利用這種圖像縮放技術(shù)，對(duì)用于人臉識(shí)別、目標(biāo)檢測(cè)等計(jì)算機(jī)視覺方向的機(jī)器學(xué)習(xí)模型發(fā)起對(duì)抗性攻擊。

其中，對(duì)抗性機(jī)器學(xué)習(xí)是一種對(duì)數(shù)據(jù)進(jìn)行操作的技術(shù)，它能在不被人類察覺的情況下改變?nèi)斯ぶ悄芩惴ǖ男袨�，而�?chuàng)建對(duì)抗性的機(jī)器學(xué)習(xí)示例是一個(gè)反復(fù)試驗(yàn)的過(guò)程。創(chuàng)建對(duì)抗性示例包括對(duì)圖像像素進(jìn)行細(xì)微的調(diào)整，再通過(guò) AI 算法重新運(yùn)行該圖像，以查看圖像置信度的變化。通過(guò)適當(dāng)調(diào)整后，可以自動(dòng)化創(chuàng)建一個(gè)噪音映射（noise map）來(lái)降低一個(gè)類的置信度，而提高另一個(gè)類的置信度。

在今年 Usenix 安全研討會(huì)上發(fā)表的一篇論文中，TU Braunschweig 的研究人員就針對(duì)機(jī)器學(xué)習(xí)系統(tǒng)的分級(jí)和防止對(duì)抗性圖像縮放攻擊進(jìn)行了深入的回顧。他們的發(fā)現(xiàn)不斷提醒我們，AI 算法許多隱藏的方面和威脅還未被發(fā)現(xiàn)，導(dǎo)致這些影響在我們的日常生活中正變得越來(lái)越突出。

對(duì)抗性圖像縮放

當(dāng)在許多實(shí)例上訓(xùn)練時(shí)，機(jī)器學(xué)習(xí)模型創(chuàng)建不同類之間相似性程度的數(shù)學(xué)表達(dá)。例如，如果你訓(xùn)練一個(gè)機(jī)器學(xué)習(xí)算法來(lái)區(qū)分熊貓和長(zhǎng)臂猿，它就會(huì)嘗試創(chuàng)建一個(gè)統(tǒng)計(jì)模型來(lái)區(qū)分新圖像中的像素是更像熊貓還是長(zhǎng)臂猿。

實(shí)際上，這些人工智能算法學(xué)習(xí)區(qū)分不同物體的方式與人類視覺的工作方式不同。大多數(shù)對(duì)抗性攻擊利用這種差異，在改變機(jī)器學(xué)習(xí)系統(tǒng)輸出的同時(shí)，進(jìn)行人類肉眼無(wú)法察覺的細(xì)微調(diào)整。

例如，當(dāng)你讓一個(gè)人描述他是如何從圖片中發(fā)現(xiàn)熊貓的，他可能會(huì)尋找一些目標(biāo)的身體特征，比如眼睛周圍的黑色毛發(fā)，黑白相間的皮毛以及體型大小。他可能還會(huì)給出其他的背景，比如他希望看到熊貓?jiān)谑裁礃拥臈�息地，�?huì)擺出什么樣的動(dòng)作姿勢(shì)等等。

而對(duì)于人工神經(jīng)網(wǎng)絡(luò)來(lái)說(shuō)，只要根據(jù)公式，通過(guò)計(jì)算機(jī)程序運(yùn)行圖像的像素值提供正確的答案，就確信所看到的圖像確實(shí)是一只熊貓。換句話說(shuō)，通過(guò)正確地調(diào)整圖像中的像素值，你也可以讓 AI 誤以為它看到的不是熊貓。

其中的細(xì)節(jié)在于，研究人員在圖像上添加了一層人眼幾乎覺察不到的噪聲。

當(dāng)新的像素值通過(guò)人工神經(jīng)網(wǎng)絡(luò)時(shí)，會(huì)產(chǎn)生從長(zhǎng)臂猿的圖像中所期望的結(jié)果。而在人眼看來(lái)，左右兩幅圖像似乎是同一只熊貓。

研究人員在他們的論文中寫道：“盡管大量研究都在研究針對(duì)學(xué)習(xí)算法的攻擊，但目前為止，幾乎沒有人關(guān)注機(jī)器學(xué)習(xí)預(yù)處理中的漏洞�！钡�是，當(dāng)經(jīng)典的對(duì)抗性攻擊利用人工智能算法內(nèi)部工作的特性時(shí)，圖像縮放攻擊就集中在機(jī)器學(xué)習(xí)流水線的預(yù)處理階段。