雷鋒網(wǎng) AI科技評論按：眾所周知，在圖像識別領(lǐng)域，對抗樣本是一個非常棘手的問題，研究如何克服它們可以幫助避免潛在的危險。但是，當(dāng)圖像識別算法應(yīng)用于實際生活場景下時，我們真的需要那么擔(dān)心對抗樣本問題嗎？近日，來自UIUC的一篇論文《不用那么擔(dān)心自動駕駛中物體識別的對抗樣本問題》給了我們解答。

論文首先提出如下觀點(diǎn)：大多數(shù)機(jī)器學(xué)習(xí)算法對于對抗干擾很敏感，只要從圖像空間中精心選取的方向增加輕微的干擾，就可能會導(dǎo)致這個圖像被訓(xùn)練好的神經(jīng)網(wǎng)絡(luò)模型誤分類。此外，打印出增加過干擾的圖像，然后把它們拍下來，這些拍下的圖像仍然會被誤分類，這也證實了現(xiàn)實世界中對抗樣本的存在。這些失誤讓人們意識到將機(jī)器學(xué)習(xí)應(yīng)用于現(xiàn)實場景下時，安全是否有保障。

不過前面那些實驗忽略了現(xiàn)實世界中物體的關(guān)鍵性質(zhì)：相比虛擬場景下對圖片單一的識別，在現(xiàn)實世界中，相機(jī)可以從不同的距離和角度拍下物體來進(jìn)行識別。從移動觀察者的角度來看，目前現(xiàn)實世界中的對抗樣本不會對物體檢測造成干擾。

他們做的一系列實驗表明，實際環(huán)境下，在特定的距離和角度下拍攝的帶有對抗干擾的停車標(biāo)志可能會導(dǎo)致深度神經(jīng)網(wǎng)絡(luò)物體識別器誤識別，但對于大量從不同的距離和角度拍下的停車標(biāo)志的照片，對抗干擾就無法保證總能愚弄物體檢測器了。

圖：為了模擬真實場景，實驗中把圖像打印了出來。如圖場景中的停車標(biāo)志都能被正確識別。

他們收集了一系列停車標(biāo)志的圖像，然后用三種不同的對抗攻擊方法產(chǎn)生干擾樣本，同時攻擊圖像分類器和物體識別器。然后，打印出受到干擾的圖像，從不同的距離拍成照片，并檢查了不再具有對抗性的圖片中原來增加的干擾的受損程度。在大多數(shù)情況下，損壞率很高，并且隨著距離的增加而增加。最后，通過一個小實驗表明，照片拍攝的角度也可以改變對抗干擾的影響。

為什么能正確識別大多數(shù)圖片呢，他們認(rèn)為原因是干擾的對抗特征對受到干擾的圖片的大小比較敏感。如果只從很近的距離來進(jìn)行識別，自動駕駛汽車就不能得出正確結(jié)論。另外，論文中提出了一個關(guān)鍵問題：是否有可能構(gòu)建出這樣的對抗性樣本，使得它在大多數(shù)不同的觀察條件下都能讓機(jī)器誤判斷？如果可能，這種對抗特征能夠?qū)θ祟惱斫馍疃葘W(xué)習(xí)網(wǎng)絡(luò)的內(nèi)部表征模式起到巨大的幫助。如果不能，也可以預(yù)期對抗性樣本的研究會止步于好奇心而已，對現(xiàn)實世界的危害很小。

從實驗結(jié)論來看，現(xiàn)有的對抗性干擾方法用于停車標(biāo)志的識別時（在他們的數(shù)據(jù)集和控制試驗之下）只在特定場景下適用。這也表明，我們可能不需要擔(dān)心多數(shù)現(xiàn)實場景下的對抗樣本問題，尤其是在自動駕駛領(lǐng)域。

論文地址：https://arxiv.org/abs/1707.03501

雷鋒網(wǎng) AI科技評論編譯。想要了解更多相關(guān)信息，請關(guān)注雷鋒網(wǎng) AI科技評論。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。