科技改变生活
1月4日,卡耐基梅隆大学的Mahmood Sharif博士设计了一种反人脸识别眼镜,带上之后成功让多种人脸识别AI判断失效,这也显示了目前多种AI网络安全隐患。
研究人员将图案打印在眼镜框上,之后Face++的人脸识别把一名男工作人员识别成了女演员米拉·乔沃维奇,而一名女工作人员被认成了项目负责人Mahmood Sharif,出错率高达90%。
实际上这种眼镜的花纹采用的是“摄动”(Perturbation)图案,这种图案在2013年首次被提出,可以通过小到像素级别的图案欺骗图像识别器。下图是一个典型的例子,首先一个神经网络成功识别一个香蕉。
有趣的是,当在香蕉旁边放上一个摄动图案小板子之后,AI竟然把这根香蕉当成了烤面包机。
这其中的原理就在于神经网络的缺陷,是的,尽管深度神经网络是目前AI的核心,但是也存在缺陷。这种缺陷来自于它们的线性特征,2013年,卡耐基梅隆大学的Christian Szegedy就对这种线性特征的过度拟合进行了充分的说明。
这些研究在AI领域被统称为对抗生成网络,也就是专门寻找神经网络的缺陷,并实现骗AI的目的。当然这项研究并不是要做坏事,而是为了优化神经网络。一个严重的例子就是自动驾驶汽车,如果自驾车的视觉神经网络一旦出现问题,那么后果将不堪设想。
当然,要糊弄AI也不是一件容易的是,因为首先你需要访问到目标神经网络的内部代码。而且每一个摄动图案都需要经过精心的设计,针对不同的神经网络框架都需要不同的图案。下图就是这款眼镜的代码,主要针对OpenFace 和 VGG两种神经网络。
此次研究的负责人Mahmood Sharif博士,于2015获得于以色列海法大学计算机科学硕士学位,目前正在卡耐基梅隆大学攻读博士学位。他的主要研究领域为神经网络、计算机安全和机器学习。
研究人员下一步则是针对人脸识别神经网络出现的问题进行修复,构建更安全的人脸识别AI。此外,包括谷歌、Facebook在内的巨头目前也纷纷意识到了神经网络缺陷的严重性,正在开发更好的防御措施。
领取专属 10元无门槛券
私享最新 技术干货