雷鋒網(wǎng) AI科技評論按：看來，我們還是不能對對抗樣本問題掉以輕心。

上周，來自UIUC的一篇論文表示，當(dāng)圖像識別算法應(yīng)用于實際生活場景下（比如自動駕駛）時，可能不需要那么擔(dān)心對抗樣本問題。他們做了一系列實驗，從不同角度和方向拍下受到干擾的停車標(biāo)志的圖片，將圖像進行識別，結(jié)果表明，現(xiàn)有的對抗性干擾只在特定場景下適用。

關(guān)于那篇論文，雷鋒網(wǎng)之前有相關(guān)發(fā)文：UIUC最新研究：對抗性樣本是紙老虎，一出門就不好使！

而近日，針對UIUC的論文，OpenAI表示，他們已經(jīng)生成了一些圖像，當(dāng)從不同大小和視角來觀察時，能可靠地愚弄神經(jīng)網(wǎng)絡(luò)識別器。雷鋒網(wǎng) AI科技評論編譯如下：

目前的對抗樣本在圖像不斷變化的情況下失效了。上圖展示了受到對抗干擾的小貓圖片，在經(jīng)ImageNet訓(xùn)練的Inception v3上會被錯誤地識別為臺式電腦。但將圖片僅僅放大1.002倍，就會導(dǎo)致識別率的改變：正確標(biāo)簽“小花貓”覆蓋了對抗標(biāo)簽“臺式電腦”。

不過他們猜想，經(jīng)過一定的努力可能會生成一個具有魯棒性的對抗樣本，因為已經(jīng)證實了對抗樣本能轉(zhuǎn)移到現(xiàn)實世界。他們的猜想很對。

上圖是通過標(biāo)準(zhǔn)彩色打印機打印出的另一張受到干擾的小貓照片，不管將它怎么縮放或旋轉(zhuǎn)，都能愚弄識別器，讓它認(rèn)為圖片里的是顯示屏或臺式電腦。這張圖在人眼看來有點失真，OpenAI期望進一步調(diào)整參數(shù),生成人眼看起來自然，但能騙過機器的對抗樣本，這樣的樣本會有很高的危險性。

下面是他們另外生成的兩個對抗樣本。

大小無關(guān)的對抗樣本

可以用一種稱為投影梯度下降法（projected gradient descent）的優(yōu)化方法，來找到針對圖像的微小擾動，隨意的愚弄識別器來創(chuàng)建對抗樣本。

這種優(yōu)化不是為了發(fā)現(xiàn)從單一視角具有對抗性的輸入圖像。在識別圖像之前，通過眾多隨機識別器隨意調(diào)整輸入圖像大小，通過對抗這樣眾多的輸入來優(yōu)化，產(chǎn)生了大小無關(guān)的魯棒性對抗樣本。

上圖中不斷調(diào)整圖片的大小，仍能穩(wěn)定愚弄識別器。即使只去修改與貓相對應(yīng)的像素，仍能創(chuàng)造出在所有大小下都具有對抗性的受干擾圖片。

變化無關(guān)的對抗樣本

通過對訓(xùn)練干擾增加隨機旋轉(zhuǎn)、變化、縮放、噪音以及均值漂移，上面提到的方法同樣能產(chǎn)生在任何變化下都保持對抗性的輸入。

上圖是變化無關(guān)的對抗樣本。值得注意的是，圖像顯然比前面的例子受到了更多干擾。得到這個結(jié)果很好解釋：微弱的對抗性干擾很難在經(jīng)過多種不同的變換后還保持對抗性。

在實驗時，變化是隨機采樣的，這證明他們生成的樣本對所有變化都具有干擾性。

via：OpenAI

雷鋒網(wǎng) AI科技評論編譯。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。