据国外媒体报道 , 数据为人工智能革命提供了动力 。 然而安全专家们发现 , 完全可以通过篡改数据集或现实环境来攻击人工智能 , 对抗性的机器学习研究表明人工智能可能会被黑客攻击 , 从而做出完全错误的决策 。
神经网络把一张关于乌龟的照片看成了来复枪 。 一辆自动驾驶汽车从一个停车标志旁飞驰而过 , 只是因为一个精心制作的贴纸迷惑了电脑视觉 。 一副眼镜就把面部识别技术搞糊涂了 , 误以为某人是好莱坞女影星米拉?乔沃维奇(Milla Jovovich) 。 对人工智能进行黑客攻击成为了一种新的安全危机 。
为了防止一些犯罪分子想要通过篡改数据集或现实环境来攻击人工智能 , 研究人员转向对抗性的机器学习研究 。 在这种情况下 , 研究人员对数据进行修改 , 从而欺骗神经网络和人工智能系统 , 让它们看到不存在的东西 , 忽略存在的东西 , 或者使得其关于分类对象的决策完全错误 。
就像谷歌和纽约大学研究人员所做的那样 , 在一辆校车的照片上加上一层对人类来说无形的数据噪声 , 神经网络就会报告说 , 它几乎可以肯定那是一只鸵鸟 。 不仅仅是图像可以这样:研究人员已经将隐藏的语音指令嵌入到广播中 , 从而控制智能手机 , 同时不会让人们察觉 。
虽然这类工作现在被描述为一种攻击 , 但从哲学角度来说 , 对抗性的例子最初被视为神经网络设计中的一个近乎盲点:我们假设机器以我们同样的方式看东西 , 它们用与我们相似的标准来识别物体 。 2014年 , 谷歌研究人员在一篇关于“神经网络的有趣特性”的论文中首次描述了这一想法 , 该论文描述了如何在图像中添加“扰动”元素会导致神经网络出现错误——他们称之为“对抗性示例” 。 他们发现 , 微小的扭曲就可能会骗过神经网络 , 使其误读一个数字或误将校车当成别的什么东西 。 这项研究对神经网络 “固有盲点”以及它们在学习过程中的“非直觉特征”提出了质疑 。 换句话说 , 我们并不真正了解神经网络是如何运作的 。
加州大学伯克利分校(University of California, Berkeley)计算机科学教授唐恩?宋(Dawn Song)表示:“对抗性示例说明 , 我们对深度学习的原理及其局限性的理解仍然非常有限 。 ”宋是四所大学联合进行对抗性研究的几位研究人员之一 , 他们共同开发了停车标志贴纸来干扰自动驾驶汽车 。
华盛顿大学(University of Washington)计算机安全研究员厄尔伦斯?费尔南德斯(Earlence Fernandes)也从事停车标志研究 , 他表示:“攻击的范围很广 , 取决于攻击者处在机器学习模型生成过程的哪个阶段 。 ” 费尔南德斯举例说 , 在开发机器学习模型时可进行训练时间攻击 , 也就是使用恶意数据来训练系统 。 他表示:“在人脸检测算法中 , 攻击者可能会用恶意数据对模型施以毒害 , 从而使检测算法将攻击者的脸识别为授权人 。 ”
另一方面 , 推理时间攻击则是通过一系列算法——比如快速梯度符号法(Fast Gradient Sign Method , FGSM)和当前最优攻击方法(Carlini and Wagner)是两种最流行的算法——向模型显示精心制作的输入 , 从而迷惑神经网络 。
随着人工智能渗透到我们生活的方方面面——驾驶汽车、分析视频监控系统、通过面部识别某人身份——对这些系统的攻击变得更加可能 , 也更加危险 。 黑客修改路边交通标志可能会导致车祸和人员伤害 。 对数据机器学习系统的细微改变也会导致人工智能系统做出的决策出现偏差 。
【外媒称对抗性机器学习存漏洞 黑客攻击轻而易举】
推荐阅读
- 外媒:中国引入人工智能技术优化居家养老服务
- 谁是钟离无盐
- 谁是重庆第一家火锅
- 外媒:AI与中国实体经济正加速融合释放巨大潜力
- 谁有关于立春的小故事呢
- 谁知道高斯定义是什么
- 谁知道叫花鸡哪里特产
- 谁知道莲子的别称还有藕的别称
- 谁知道陆游叫被后人称为什么啊
- 谁知道三角梅叶子的资料