对抗未来AI主子新玩法

读到一个特别好玩的预印本论文:“对抗贴纸”(Adversarial Patch)。这东西对抗将来AI主子的普遍监视应该会很有效吧。

深度学习是现在最火的AI路线,下围棋的阿法狗用的就是它。这路线十分好用,但是有一个坑:很怕“对抗样本”——人类专门设计出来的一些东西,看起来人畜无害,却能诱骗它去做出人意料的举动。在图片识别领域里已经有大量的经典例子:本来好好的一张猫照片,修改其中不到1%的像素,人眼看不出区别,但AI就会一口咬定这个改过的照片是只孔雀。

前几天Google有几个研究者贴了一篇预印本论文,提出一个对抗的新玩法。以往大家的修改目标是人眼看不出来,但一像素一像素改十分繁琐,只能靠计算机。如果放宽这个要求允许对原图大改,会怎样?

结果就是“对抗贴纸”。

顾名思义,它就是一个实际存在的贴纸,但你只要把它贴在任何东西边上,就能把图像识别AI搞疯。他们举出的例子里(图1),只要视野里有这个贴纸,AI就会一口咬定它看到了一台烤面包机,而对边上那么大一根香蕉视而不见,效果远比放一个真的烤面包机好。

这个贴纸和别的对抗样本一样,在现实生活中也管用,光照不好或者角度偏了也不太影响。但它有几个特别厉害的点:

第一,你不用管原来是什么东西,贴哪儿哪儿管用,不像以前的对抗样本要先有了底子才能修改;

第二,它虽然在人类眼中很显眼,但可以把它伪装成艺术作品(图2),能在骗过AI的同时也骗过人类。

第三,它虽然设计的时候需要算法,但使用起来完全没有技术含量,打印出来谁都能用。

论文里提供的一份贴纸图片供大家分享,图下部有使用说明。

这个贴纸是用5个现有的图片神经网络inceptionv3, resnet50, xception, VGG16, 和VGG19训练出来的,对这5个效果最好,但对别的也有一定效果。当然研究者可以调整模型来减弱一个具体贴纸的效果,但目前看起来对抗样本似乎是难以根除的,所以还可以继续设计新的有效的贴纸。

所以如果未来哪一天基于深度学习的AI统治了世界,利用图像识别监控每一个人脸、监视每一个物体,那反抗组织可能就有活儿干了:打印一堆对抗贴纸,大街小巷到处贴。明明装载了一车硬盘,但因为贴纸而被AI当做一车香蕉,一定超好笑。当然AI会调自己的模型,但人也会跟着调,第四次世界大战变成最新模型对最新贴纸的军备竞赛,那可有好戏看。

而那时候,今天贴小广告和墙面涂鸦的人大概就是身经百战的老兵了。

Adversarial Patch, Tom B. Brown et al. arXiv:1712.09665

【LEAP私学】用“第一性原理”来理解孩子

LEAP(跃然)教育

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20180107B04J7500?refer=cp_1026

扫码关注云+社区