雷鋒網(wǎng) AI科技評論按：眾所周知，在圖像識別領域，對抗樣本是一個非常棘手的問題，研究如何克服它們可以幫助避免潛在的危險。但是，當圖像識別算法應用于實際生活場景下時，我們真的需要那么擔心對抗樣本問題嗎？近日，來自UIUC的一篇論文《不用那么擔心自動駕駛中物體識別的對抗樣本問題》給了我們解答。

論文首先提出如下觀點：大多數(shù)機器學習算法對于對抗干擾很敏感，只要從圖像空間中精心選取的方向增加輕微的干擾，就可能會導致這個圖像被訓練好的神經(jīng)網(wǎng)絡模型誤分類。此外，打印出增加過干擾的圖像，然后把它們拍下來，這些拍下的圖像仍然會被誤分類，這也證實了現(xiàn)實世界中對抗樣本的存在。這些失誤讓人們意識到將機器學習應用于現(xiàn)實場景下時，安全是否有保障。

不過前面那些實驗忽略了現(xiàn)實世界中物體的關鍵性質：相比虛擬場景下對圖片單一的識別，在現(xiàn)實世界中，相機可以從不同的距離和角度拍下物體來進行識別。從移動觀察者的角度來看，目前現(xiàn)實世界中的對抗樣本不會對物體檢測造成干擾。

他們做的一系列實驗表明，實際環(huán)境下，在特定的距離和角度下拍攝的帶有對抗干擾的停車標志可能會導致深度神經(jīng)網(wǎng)絡物體識別器誤識別，但對于大量從不同的距離和角度拍下的停車標志的照片，對抗干擾就無法保證總能愚弄物體檢測器了。

圖：為了模擬真實場景，實驗中把圖像打印了出來。如圖場景中的停車標志都能被正確識別。

他們收集了一系列停車標志的圖像，然后用三種不同的對抗攻擊方法產(chǎn)生干擾樣本，同時攻擊圖像分類器和物體識別器。然后，打印出受到干擾的圖像，從不同的距離拍成照片，并檢查了不再具有對抗性的圖片中原來增加的干擾的受損程度。在大多數(shù)情況下，損壞率很高，并且隨著距離的增加而增加。最后，通過一個小實驗表明，照片拍攝的角度也可以改變對抗干擾的影響。

為什么能正確識別大多數(shù)圖片呢，他們認為原因是干擾的對抗特征對受到干擾的圖片的大小比較敏感。如果只從很近的距離來進行識別，自動駕駛汽車就不能得出正確結論。另外，論文中提出了一個關鍵問題：是否有可能構建出這樣的對抗性樣本，使得它在大多數(shù)不同的觀察條件下都能讓機器誤判斷？如果可能，這種對抗特征能夠對人類理解深度學習網(wǎng)絡的內部表征模式起到巨大的幫助。如果不能，也可以預期對抗性樣本的研究會止步于好奇心而已，對現(xiàn)實世界的危害很小。

從實驗結論來看，現(xiàn)有的對抗性干擾方法用于停車標志的識別時（在他們的數(shù)據(jù)集和控制試驗之下）只在特定場景下適用。這也表明，我們可能不需要擔心多數(shù)現(xiàn)實場景下的對抗樣本問題，尤其是在自動駕駛領域。

論文地址：https://arxiv.org/abs/1707.03501

雷鋒網(wǎng) AI科技評論編譯。想要了解更多相關信息，請關注雷鋒網(wǎng) AI科技評論。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。