据国外媒体报道,数据为人工智能革命提供了动力 。 然而安全专家们发现,完全可以通过篡改数据集或现实环境来攻击人工智能,对抗性的机器学习研究表明人工智能可能会被黑客攻击,从而做出完全错误的决策 。
神经网络把一张关于乌龟的照片看成了来复枪 。 一辆自动驾驶汽车从一个停车标志旁飞驰而过,只是因为一个精心制作的贴纸迷惑了电脑视觉 。 一副眼镜就把面部识别技术搞糊涂了,误以为某人是好莱坞女影星米拉?乔沃维奇(Milla Jovovich) 。 对人工智能进行黑客攻击成为了一种新的安全危机 。
为了防止一些犯罪分子想要通过篡改数据集或现实环境来攻击人工智能,研究人员转向对抗性的机器学习研究 。 在这种情况下,研究人员对数据进行修改,从而欺骗神经网络和人工智能系统,让它们看到不存在的东西,忽略存在的东西,或者使得其关于分类对象的决策完全错误 。
就像谷歌和纽约大学研究人员所做的那样,在一辆校车的照片上加上一层对人类来说无形的数据噪声,神经网络就会报告说,它几乎可以肯定那是一只鸵鸟 。 不仅仅是图像可以这样:研究人员已经将隐藏的语音指令嵌入到广播中,从而控制智能手机,同时不会让人们察觉 。
虽然这类工作现在被描述为一种攻击,但从哲学角度来说,对抗性的例子最初被视为神经网络设计中的一个近乎盲点:我们假设机器以我们同样的方式看东西,它们用与我们相似的标准来识别物体 。 2014年,谷歌研究人员在一篇关于“神经网络的有趣特性”的论文中首次描述了这一想法,该论文描述了如何在图像中添加“扰动”元素会导致神经网络出现错误——他们称之为“对抗性示例” 。 他们发现,微小的扭曲就可能会骗过神经网络,使其误读一个数字或误将校车当成别的什么东西 。 这项研究对神经网络 “固有盲点”以及它们在学习过程中的“非直觉特征”提出了质疑 。 换句话说,我们并不真正了解神经网络是如何运作的 。
加州大学伯克利分校(University of California, Berkeley)计算机科学教授唐恩?宋(Dawn Song)表示:“对抗性示例说明,我们对深度学习的原理及其局限性的理解仍然非常有限 。 ”宋是四所大学联合进行对抗性研究的几位研究人员之一,他们共同开发了停车标志贴纸来干扰自动驾驶汽车 。
华盛顿大学(University of Washington)计算机安全研究员厄尔伦斯?费尔南德斯(Earlence Fernandes)也从事停车标志研究,他表示:“攻击的范围很广,取决于攻击者处在机器学习模型生成过程的哪个阶段 。 ” 费尔南德斯举例说,在开发机器学习模型时可进行训练时间攻击,也就是使用恶意数据来训练系统 。 他表示:“在人脸检测算法中,攻击者可能会用恶意数据对模型施以毒害,从而使检测算法将攻击者的脸识别为授权人 。 ”
另一方面,推理时间攻击则是通过一系列算法——比如快速梯度符号法(Fast Gradient Sign Method,FGSM)和当前最优攻击方法(Carlini and Wagner)是两种最流行的算法——向模型显示精心制作的输入,从而迷惑神经网络 。
随着人工智能渗透到我们生活的方方面面——驾驶汽车、分析视频监控系统、通过面部识别某人身份——对这些系统的攻击变得更加可能,也更加危险 。 黑客修改路边交通标志可能会导致车祸和人员伤害 。 对数据机器学习系统的细微改变也会导致人工智能系统做出的决策出现偏差 。
但我们不应该过分担心 。 麻省理工学院的研究员安尼施?安塞也(Anish Athalye)指出,“据我们所知,这种类型的攻击目前还没有在被现实世界中的恶意组织所采纳过 。 但考虑到这一领域的所有研究,似乎很多机器学习系统都非常脆弱,如果现实世界的系统很容易就遭到了这种攻击,我也不会感到惊讶 。 ”
推荐阅读
- 结婚大门对联大全
- steam域名名称怎么填
- 偶像梦幻祭的简称
- 很多同学压根不懂是什么英文缩写 CEO 和 SEO 都是职务名称吗?
- sns是什么 sns是什么意思
- 微信神配图怎么开启
- 微信怎么修改地址名称
- 交投全称是叫什么
- 华为手机怎么设置热点名称
- 古代猫的别称