在實際生活中，我們通常不會期望一個圖像在經(jīng)過縮小后變成另外一個模樣完全不同的圖像，但這樣奇怪的事情可能會在人工智能領(lǐng)域發(fā)生。

來自德國 Braunschweig 技術(shù)大學(xué)的研究人員通過大量實驗已經(jīng)證明，仔細(xì)修改數(shù)碼照片的像素值可以使照片在縮小尺寸后變成與之前完全不同的圖像，而這些對圖像的修改操作在人工智能算法領(lǐng)域的影響值得被廣泛關(guān)注。

圖像縮放技術(shù)在人工智能研究領(lǐng)域有著十分重要的地位，但是也存在一些挑戰(zhàn)。其主要的問題就是，惡意攻擊者可以利用這種圖像縮放技術(shù)，對用于人臉識別、目標(biāo)檢測等計算機視覺方向的機器學(xué)習(xí)模型發(fā)起對抗性攻擊。

其中，對抗性機器學(xué)習(xí)是一種對數(shù)據(jù)進(jìn)行操作的技術(shù)，它能在不被人類察覺的情況下改變?nèi)斯ぶ悄芩惴ǖ男袨椋�而�?chuàng)建對抗性的機器學(xué)習(xí)示例是一個反復(fù)試驗的過程。創(chuàng)建對抗性示例包括對圖像像素進(jìn)行細(xì)微的調(diào)整，再通過 AI 算法重新運行該圖像，以查看圖像置信度的變化。通過適當(dāng)調(diào)整后，可以自動化創(chuàng)建一個噪音映射（noise map）來降低一個類的置信度，而提高另一個類的置信度。

在今年 Usenix 安全研討會上發(fā)表的一篇論文中，TU Braunschweig 的研究人員就針對機器學(xué)習(xí)系統(tǒng)的分級和防止對抗性圖像縮放攻擊進(jìn)行了深入的回顧。他們的發(fā)現(xiàn)不斷提醒我們，AI 算法許多隱藏的方面和威脅還未被發(fā)現(xiàn)，導(dǎo)致這些影響在我們的日常生活中正變得越來越突出。

對抗性圖像縮放

當(dāng)在許多實例上訓(xùn)練時，機器學(xué)習(xí)模型創(chuàng)建不同類之間相似性程度的數(shù)學(xué)表達(dá)。例如，如果你訓(xùn)練一個機器學(xué)習(xí)算法來區(qū)分熊貓和長臂猿，它就會嘗試創(chuàng)建一個統(tǒng)計模型來區(qū)分新圖像中的像素是更像熊貓還是長臂猿。

實際上，這些人工智能算法學(xué)習(xí)區(qū)分不同物體的方式與人類視覺的工作方式不同。大多數(shù)對抗性攻擊利用這種差異，在改變機器學(xué)習(xí)系統(tǒng)輸出的同時，進(jìn)行人類肉眼無法察覺的細(xì)微調(diào)整。

例如，當(dāng)你讓一個人描述他是如何從圖片中發(fā)現(xiàn)熊貓的，他可能會尋找一些目標(biāo)的身體特征，比如眼睛周圍的黑色毛發(fā)，黑白相間的皮毛以及體型大小。他可能還會給出其他的背景，比如他希望看到熊貓在什么樣的棲息地，會擺出什么樣的動作姿勢等等。

而對于人工神經(jīng)網(wǎng)絡(luò)來說，只要根據(jù)公式，通過計算機程序運行圖像的像素值提供正確的答案，就確信所看到的圖像確實是一只熊貓。換句話說，通過正確地調(diào)整圖像中的像素值，你也可以讓 AI 誤以為它看到的不是熊貓。

其中的細(xì)節(jié)在于，研究人員在圖像上添加了一層人眼幾乎覺察不到的噪聲。

當(dāng)新的像素值通過人工神經(jīng)網(wǎng)絡(luò)時，會產(chǎn)生從長臂猿的圖像中所期望的結(jié)果。而在人眼看來，左右兩幅圖像似乎是同一只熊貓。

研究人員在他們的論文中寫道：“盡管大量研究都在研究針對學(xué)習(xí)算法的攻擊，但目前為止，幾乎沒有人關(guān)注機器學(xué)習(xí)預(yù)處理中的漏洞�！钡�是，當(dāng)經(jīng)典的對抗性攻擊利用人工智能算法內(nèi)部工作的特性時，圖像縮放攻擊就集中在機器學(xué)習(xí)流水線的預(yù)處理階段。