雷鋒網(wǎng) AI科技評(píng)論按：看來，我們還是不能對(duì)對(duì)抗樣本問題掉以輕心。

上周，來自UIUC的一篇論文表示，當(dāng)圖像識(shí)別算法應(yīng)用于實(shí)際生活場(chǎng)景下（比如自動(dòng)駕駛）時(shí)，可能不需要那么擔(dān)心對(duì)抗樣本問題。他們做了一系列實(shí)驗(yàn)，從不同角度和方向拍下受到干擾的停車標(biāo)志的圖片，將圖像進(jìn)行識(shí)別，結(jié)果表明，現(xiàn)有的對(duì)抗性干擾只在特定場(chǎng)景下適用。

關(guān)于那篇論文，雷鋒網(wǎng)之前有相關(guān)發(fā)文：UIUC最新研究：對(duì)抗性樣本是紙老虎，一出門就不好使！

而近日，針對(duì)UIUC的論文，OpenAI表示，他們已經(jīng)生成了一些圖像，當(dāng)從不同大小和視角來觀察時(shí)，能可靠地愚弄神經(jīng)網(wǎng)絡(luò)識(shí)別器。雷鋒網(wǎng) AI科技評(píng)論編譯如下：

目前的對(duì)抗樣本在圖像不斷變化的情況下失效了。上圖展示了受到對(duì)抗干擾的小貓圖片，在經(jīng)ImageNet訓(xùn)練的Inception v3上會(huì)被錯(cuò)誤地識(shí)別為臺(tái)式電腦。但將圖片僅僅放大1.002倍，就會(huì)導(dǎo)致識(shí)別率的改變：正確標(biāo)簽“小花貓”覆蓋了對(duì)抗標(biāo)簽“臺(tái)式電腦”。

不過他們猜想，經(jīng)過一定的努力可能會(huì)生成一個(gè)具有魯棒性的對(duì)抗樣本，因?yàn)橐呀?jīng)證實(shí)了對(duì)抗樣本能轉(zhuǎn)移到現(xiàn)實(shí)世界。他們的猜想很對(duì)。

上圖是通過標(biāo)準(zhǔn)彩色打印機(jī)打印出的另一張受到干擾的小貓照片，不管將它怎么縮放或旋轉(zhuǎn)，都能愚弄識(shí)別器，讓它認(rèn)為圖片里的是顯示屏或臺(tái)式電腦。這張圖在人眼看來有點(diǎn)失真，OpenAI期望進(jìn)一步調(diào)整參數(shù),生成人眼看起來自然，但能騙過機(jī)器的對(duì)抗樣本，這樣的樣本會(huì)有很高的危險(xiǎn)性。

下面是他們另外生成的兩個(gè)對(duì)抗樣本。

大小無關(guān)的對(duì)抗樣本

可以用一種稱為投影梯度下降法（projected gradient descent）的優(yōu)化方法，來找到針對(duì)圖像的微小擾動(dòng)，隨意的愚弄識(shí)別器來創(chuàng)建對(duì)抗樣本。

這種優(yōu)化不是為了發(fā)現(xiàn)從單一視角具有對(duì)抗性的輸入圖像。在識(shí)別圖像之前，通過眾多隨機(jī)識(shí)別器隨意調(diào)整輸入圖像大小，通過對(duì)抗這樣眾多的輸入來優(yōu)化，產(chǎn)生了大小無關(guān)的魯棒性對(duì)抗樣本。

上圖中不斷調(diào)整圖片的大小，仍能穩(wěn)定愚弄識(shí)別器。即使只去修改與貓相對(duì)應(yīng)的像素，仍能創(chuàng)造出在所有大小下都具有對(duì)抗性的受干擾圖片。

變化無關(guān)的對(duì)抗樣本

通過對(duì)訓(xùn)練干擾增加隨機(jī)旋轉(zhuǎn)、變化、縮放、噪音以及均值漂移，上面提到的方法同樣能產(chǎn)生在任何變化下都保持對(duì)抗性的輸入。

上圖是變化無關(guān)的對(duì)抗樣本。值得注意的是，圖像顯然比前面的例子受到了更多干擾。得到這個(gè)結(jié)果很好解釋：微弱的對(duì)抗性干擾很難在經(jīng)過多種不同的變換后還保持對(duì)抗性。

在實(shí)驗(yàn)時(shí)，變化是隨機(jī)采樣的，這證明他們生成的樣本對(duì)所有變化都具有干擾性。

via：OpenAI

雷鋒網(wǎng) AI科技評(píng)論編譯。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。