最近我發(fā)現(xiàn)個問題：

無論是在電影還是現(xiàn)實中，人工智能AI 都經(jīng)常以碾壓人類的姿態(tài)出現(xiàn)在公眾面前。

電影里， T800 機器人光著屁股登場，第一件事就是暴揍一群人類，搶走他們的衣服、摩托和墨鏡，全程一副“你瞅啥再瞅瞅試試”的樣子。

[[247027]]

現(xiàn)實中，人工智能也經(jīng)常以碾壓人類的姿態(tài)出現(xiàn)在公眾面前。

1997年“深藍”戰(zhàn)勝象棋大師卡斯帕羅，2017年前后“阿法狗”擊敗圍世界級棋手李世乭、柯潔…… 每次都把人類選手逼到不得不認輸。

(被 AI支配的恐懼三連發(fā)) 

[[247028]]

[[247029]]

[[247030]]

如此看來，“人工智能發(fā)展史”簡直就是“人類一步步被自己發(fā)明的 AI 擊敗的歷史”，真讓人悲喜交加無以表達……

然鵝!

畫風一轉，幺哥今天給大家講個人類調(diào)戲 AI 的趣事。

Let's Rock !

圖像識別大家都見識過，它是 AI 應用最熱門的領域之一，人臉識別、物品識別、自動駕駛……應用十分廣泛。

但其實早在2015年前后，就有人發(fā)表過一篇名為《深度神經(jīng)網(wǎng)絡真好騙》的論文。

他們發(fā)現(xiàn)，有一種騷操作能欺騙圖像識別系統(tǒng)，分分鐘讓 AI 變傻子。

怎么做的呢?

這是一張熊貓側身照，人類看著是熊貓，圖像識別 AI 也把它認作熊貓。

研究人員對這張圖里的的某些特定像素進行了一點點肉眼無法辨識的擾動。

(看不懂里頭的公式?jīng)]關系)

之后，雖然人看著還是熊貓，可 AI 卻會把它識別成長臂猿，而且置信度高達 99.3%。

就這樣，人類成功欺騙了AI。

根據(jù)這一原理，有人做了另一組更騷的實驗。

他們對馬路上的路標進行了藝術加工，在特定的位置貼了些小紙片，涂抹了些污漬。

照理說，路標每天在外面日曬雨淋，被弄臟或者貼個小廣告也不奇怪，路人通常不會在意。

可就因為這些特殊處理，讓國外某款自動駕駛汽車變成了傻子。

測試結果顯示：左邊三個“停止”路標被 AI 識別為“時速60碼”，最右邊的“右轉”被 AI 識別成了“停止”。

一開始，人們以為這是某個特殊條件偶然觸發(fā)了 BUG，可后來研究人員發(fā)現(xiàn)，這個問題在圖像識別領域普遍存在。

甚至，除了圖像識別，聲音識別等其他領域的 AI 應用也出現(xiàn)了類似問題。這時人們才發(fā)現(xiàn)，原來這是所有機器學習的通病!

講真，一開始我看到這項研究成果時，簡直是身心愉悅喜聞樂見 —— 人類終于逆襲了一次 AI。

可等我冷靜下來，卻發(fā)現(xiàn)此事細思極恐。

人類可以欺騙 AI 圖像識別 ，這不就意味著，壞人能用這種方法讓自動駕駛汽車撞向護欄?

這不就意味著，下一次逃犯去聽張學友的演唱會時可以欺騙人臉識別，躲避追捕?

為了搞明白這件事，我想起了一位AI安全牛人，兜哥。

兜哥是百度安全的一位資深安全研究員，這幾年一直研究AI安全。

大家都知道，百度是國內(nèi)最早搗鼓 AI 的公司，在很多領域都有相關應用，如果 AI 存在被欺騙的問題，它肯定首當其沖，而兜哥又恰好在百度研究 AI 安全，必然知道其中門道。

于是在某天下午，我去后廠村找到兜哥，強行讓他給我傳授了一套AI安全秘籍。

1、AI為什么會變成傻子?

兜哥說，機器學習的基本原理其實不難。

就以圖像識別為例，讓 AI 去識別貓和狗，本質(zhì)上就是讓 AI 去做“分類”(或者聚類)，把長得差不多的歸類到一起。

比如，讓機器學習模型區(qū)分一堆紅球和綠球，模型的分類器會不斷試探，最終在函數(shù)圖上畫出一條分界線，完美區(qū)隔紅綠球。

區(qū)分貓和狗，其實也就是摸索出這么一條線。

當然，實際應用中可能有無數(shù)條這樣的線，比這復雜得多，本文只用最簡單的例子來說明。

那么，如何像文章開頭那樣欺騙 AI 呢?

只需要在分界線附近隨便找一個點，略微修改它的參數(shù)，讓它移動到函數(shù)圖上分界線的另一側。

這種“像素級”輕微改動，放到一張圖片里，肉眼通?？床怀鰜?，但機器的判定結果卻會發(fā)生變化。

于是，便實現(xiàn)了文章開頭的欺騙效果。

研究人員把這種小幅度修改后能夠改變 AI 判斷結果，但人類感官無法辨別的數(shù)據(jù)樣本統(tǒng)稱為“對抗樣本”。

如果還不太理解，我再打個不太嚴謹?shù)谋确健?/p>

首先，任何兩個物體之間都會有一個辨識分界線。

這，是王力宏

這，是烏蠅哥。

他們兩個之間就有一條辨識分界線。

辨識分界線附近的樣本容易被弄混，它們很容易被找到“對抗樣本”，讓機器傻傻分不清楚。

兜哥說，要找到某個圖片的對抗樣本，本質(zhì)上就是想辦法讓它以最小的改動，移到分界線另一側。

于是，這個 AI 安全問題就變成了一個初中生數(shù)學題：“求一個點到一條直線的最短距離。”

兜哥：聽懂了嗎?

謝幺：聽懂了!

兜哥：好的，那下面布置作業(yè)，你現(xiàn)在就去黑掉 Alpha Go 試試 !

謝幺：呃……這……

兜哥告訴我，如果研究人員提前知道機器學習模型的內(nèi)部構造，就可以利用特定算法來生成 “對抗樣本”，這叫“白盒攻擊”。

如果研究人員只能控制輸入和輸出數(shù)據(jù)，完全看不到AI模型內(nèi)部發(fā)生了什么，這時構造“對抗樣本”就會比較麻煩，需要用“黑盒攻擊”。

所謂“黑盒攻擊”，本質(zhì)上就是猜，不斷地瞎猜。

比如把圖片里的每個像素點都逐個改幾遍，試試看它對結果的影響，最終找到能改變AI判斷結果的那個。

所以“黑盒攻擊” 需要些運氣。

如果運氣好，有時候只需要修改一個像素就可以改變AI判斷結果，實現(xiàn)攻擊效果;如果手氣不好，掃幾個月也找不到一個“對抗樣本”。

顯然，白盒攻擊的成功率要比黑盒攻擊高很多，所以 AI 開發(fā)者們最好保護好自家的 AI 模型，避免讓攻擊者知道其內(nèi)部構造。

研究人員還發(fā)現(xiàn)了一個有意思的情況：

“由于很多種 AI 模型“祖上是一家”，都是從同一套算法/模型里衍生出來的，所以其實毛病都差不多。

如果你想對付 A 模型，只需要先用白盒攻擊在 B 模型里找到一個對抗樣本，再直接拿到 A 模型里使用，很多時候都能直接起效。”

他們把這種特性稱為“攻擊的遷移性”。

對抗樣本攻擊具有遷移性，這也就意味著未來這種攻擊方式會在人工智能領域變得很普遍。

兜哥說，

“如今 AI 應用地非常廣泛，比如AI 金融反欺詐、AI 鑒別色情圖片、AI 攔截垃圾郵件等等，未來一旦黑產(chǎn)利用出現(xiàn)這類攻擊手法，很可能導致AI 反不了金融欺詐，攔截垃圾郵件失敗，鑒別不出色情圖片等等，想想都刺激。”

那么，AI開發(fā)者要如何防御這種攻擊呢?

2、如何防止“對抗攻擊”

兜哥說，防御對抗攻擊的方法倒是不少，大體分為三類：

1.對抗訓練

對抗訓練有些簡單粗暴，開發(fā)者為了提高自己模型的“健壯性”，防止別人攻擊自家模型，可以自己先攻擊一遍。

他們會提前用各種“對抗攻擊”算法把自己的模型調(diào)教一遍，盡可能找出所有“對抗樣本”，再把這些對抗樣本扔進模型里，進行專項訓練。

這樣訓練出來的模型就會更加“健壯”，不再懼怕這些對抗樣本，有點類似給人類小孩打疫苗。

2.數(shù)據(jù)增強

所謂數(shù)據(jù)增強，就是指訓練的時候就加入一些隨機的噪聲、噪點。

相當于訓練模型時給數(shù)據(jù)都打上馬賽克，讓 AI 模型在模糊的環(huán)境下訓練，最終讓它達到一種“閱片無數(shù)，有碼勝似無碼”的境界。

顯然，如果 AI 模型在戴上眼鏡的情況下都能認出一個物體，那么就不怕黑客再修改什么像素點了。

就像下面這四幅畫，都糊成這樣你都成認出來，這種圖片就別說改個像素點來迷惑你了，就砍掉個胳膊你也還是能認出來。

三、特征擠壓

所謂特征擠壓，可以理解為數(shù)學里的四舍五入。

AI 模型在識別一些數(shù)據(jù)時，人為給數(shù)據(jù)進行取整，這樣就能避免掉一些小數(shù)位上的擾動。

這種方法跟前面的一種有點像，不過一個發(fā)生在訓練過程的，一個發(fā)生在運行過程。

兜哥告訴我：

為了研究這種攻擊方式，百度安全實驗室?guī)啄昵熬蛢?nèi)部研發(fā)了一個名叫AdvBox 的“對抗樣本攻防工具包”。

他們把很多主流的對抗樣本攻擊算法和防御方法打包成了一個工具包，專門給百度自家的 AI 系統(tǒng)做安全檢測。

今年，他們決定把這項安全能力分享給全球的 AI 開發(fā)者和安全研究人員，把 AdvBox 項目開源在“全球最大的同性交友網(wǎng)站” Github 上。 

(有興趣的童鞋可以去開源項目地址看看： github.com/baidu/Advbox)

 

幺哥去看了一下，發(fā)現(xiàn)這個項目不僅支持百度自家的 PadlePadle 平臺，而且還支持谷歌的 TensorFlow 等其他主流的深度學習平臺。

(搞AI技術的同學應該對它們很眼熟)

這個項目號稱不僅能攻擊靜態(tài)圖片，還能攻擊語音、文本和視頻，并且同時支持白盒攻擊、黑盒攻擊甚至是“物理攻擊”。

文章開頭提到的在路標上粘東西騙過 AI 的操作就屬于“物理攻擊”。

一般情況下，物理攻擊其實挺難實現(xiàn)。

因為即便攻擊者用白盒攻擊或黑盒攻擊找到了對抗樣本，在現(xiàn)實世界構造圖案時也常常會受到拍攝角度、位置、光照強度、圖案的色差等等因素影響;

百度安全的這個開源項目號稱 “ 構造的對抗樣本圖片經(jīng)過縮放、旋轉、扭曲、亮度更改依然可以欺騙 AI，由此可以大幅提高物理攻擊的成功率。”

(這張小貓圖案經(jīng)過拉伸、放大都可以騙過AI)

據(jù)幺哥所知，除了AdvBox 之外，百度安全今年已經(jīng)開源7個重磅的安全項目，并稱為“BASS 技術棧”(Baidu AI Security Stack)，史中老濕之前那篇《AI世界生存指南》專門寫了這個，有興趣的童鞋可以自行了解，這里就不贅述。

安利完畢，下面再給大家講個好玩的。

3、人類也會遭遇“對抗攻擊”

說起來，“對抗樣本”這個概念雖然出自人工智能領域，但是在我們?nèi)祟愒谏钪幸步?jīng)常遇見這種認知BUG。

比如這張人臉圖片：

如果只給一秒鐘反應時間，有人會辨認成正臉，有人則會看到側臉。

還記得一開始用紅球綠球舉例的那個辨識分界線的問題嗎?

這張圖片就正好介于人腦的辨識分界線，所以很容易讓人產(chǎn)生認知偏差。

這樣的例子太多了……

比如這張旋轉女郎，我怎么看都是順時針旋轉，可中哥卻堅決表示是逆時針旋轉……

之所以同樣一張照片能看出兩種旋轉方向，正是因為它處在我們的辨識分界線。

其實這張動圖本質(zhì)上只是一個2D黑影在不斷變化，3D效果都是腦補出來的，在某個瞬間，我們無法分辨哪條腿在前，所以方向判斷會出現(xiàn)紊亂。

其實同一個瞬間，只需要腦補像下面這樣加幾條簡單的線，就能避免這樣的混淆。

(左右兩張取自同一張圖的同一個瞬間)

之前網(wǎng)友們爭辯過的 “藍黑還是白金”、“laraul還是yanny” ，以及前幾天網(wǎng)友們討論宋祖英的那首《愛我中華》的開頭究竟是“五十六個民族”還是“五十六個星座”……其實都是類似的原理。

完美的AI ?不存在的。

哪怕是進化了幾千萬年的人類大腦，也會出現(xiàn)這樣那樣的“漏洞”，更別說才剛剛面世不久的AI。

興許過不了多久，專門黑人工智能的 “AI 黑客”就會出現(xiàn)。

未來科技世界充滿想象，但也可能危機四伏。

所幸的是，總有那么一群人癡迷于技術夢想，愿意分享，總是搶在黑產(chǎn)壞人們之前發(fā)現(xiàn)并試圖解決問題，竭盡所能讓這個世界更好。

感謝他們!