雷鋒網 AI科技評論按:看來, 我們還是不能對對抗樣本問題掉以輕心。
上周, 康奈爾大學的一篇論文表示, 當圖像識別演算法應用於實際生活場景下(比如自動駕駛)時, 可能不需要那麼擔心對抗樣本問題。 他們做了一系列實驗, 從不同角度和方向拍下受到干擾的停車標誌的圖片, 將圖像進行識別, 結果表明, 現有的對抗性干擾只在特定場景下適用。
關於那篇論文, 雷鋒網之前有相關發文:康奈爾大學最新研究:對抗性樣本是紙老虎, 一出門就不好使!
而近日, 針對康奈爾大學的論文, OpenAI表示, 他們已經生成了一些圖像,
上圖是通過標準彩色印表機列印出的貓咪照片, 不管將它怎麼縮放或旋轉, 都能愚弄識別器, 讓它認為圖片裡的是顯示幕或臺式電腦。 這張圖在人眼看來有點失真,
現有的對抗樣本在圖像不斷變化的情況下失效了。 上圖展示了同一張受到對抗干擾的小貓圖片, 在經ImageNet訓練的Inception v3上會被錯誤地識別為臺式電腦。
不過他們猜想, 經過一定的努力可能會生成一個具有魯棒性的對抗樣本, 因為已經證實了對抗樣本能轉移到現實世界。 下面是他們生成的兩個對抗樣本。
大小無關的對抗樣本
可以用一種稱為投影梯度下降法(projected gradient descent)的優化方法, 來找到針對圖像的微小擾動, 隨意的愚弄識別器來創建對抗樣本。
這種優化不是為了發現從單一視角具有對抗性的輸入圖像。 在識別圖像之前, 通過眾多隨機識別器隨意調整輸入圖像大小, 通過對抗這樣眾多的輸入來優化, 產生了大小無關的魯棒性對抗樣本。
上圖中不斷調整圖片的大小, 仍能穩定愚弄識別器。 即使只去修改與貓相對應的圖元, 仍能創造出在所有大小下都具有對抗性的受干擾圖片。
變化無關的對抗樣本
通過對訓練干擾增加隨機旋轉、變化、縮放、噪音以及均值漂移, 上面提到的方法同樣能產生在任何變化下都保持對抗性的輸入。
上圖是變化無關的對抗樣本。 值得注意的是, 圖像顯然比前面的例子受到了更多干擾。 得到這個結果很好解釋:微弱的對抗性干擾很難在經過多種不同的變換後還保持對抗性。
在實驗時, 變化是隨機採樣的, 這證明他們生成的樣本對所有變化都具有干擾性。
雷鋒網 AI科技評論編譯。
雷鋒網 AI科技評論編譯。