：“從一些方面看，機器視覺比人類視覺更好。但是現(xiàn)在研究人員找到了一類能夠輕松‘愚弄’機器視覺的‘對抗性圖像’。”——來自arXiv的EmergingTechnology。

現(xiàn)代科學最了不起的進步之一就是機器視覺的興起。最近幾年，新一代機器學習技術(shù)已經(jīng)改變了計算機“看見”世界的方式。

現(xiàn)在，機器在人臉識別和物品識別方面已經(jīng)超越了人類，并將改變無數(shù)基于視覺的任務(wù)，例如駕駛、安全監(jiān)控等等。機器視覺現(xiàn)在簡直是超人。

但是有一個問題出現(xiàn)了。機器視覺研究人員已經(jīng)注意到，這項新技術(shù)有一些讓人擔心的弱點。實際上，機器視覺算法有一個阿喀琉斯之踵，使它們被一些經(jīng)過微擾的圖像捉弄，而這些圖像對于人類來說非常淺顯易見。

這些經(jīng)過修改的圖像被稱為“對抗性圖像，成為一種重要的威脅。“在人臉識別領(lǐng)域，一個對抗性例子可能由臉部非常細微的標記構(gòu)成，因此人會正確識別出圖像中的身份，而機器學習系統(tǒng)會將其識別為一個不同的人。”谷歌Brain的AlexeyKurakin、SamyBengio以及非營利機構(gòu)OpenAI的IanGoodfellow說。

他們在論文中稱，這種對抗性攻擊除了能影響完全在計算機中運行的系統(tǒng)，例如逃避垃圾郵件過濾器或病毒軟件監(jiān)測器，還能影響在物理世界中運行的系統(tǒng)，例如通過攝像頭及其他傳感器感知世界的機器人、視頻監(jiān)控系統(tǒng)以及圖像和聲音分類的移動應(yīng)用。

因為機器視覺還非常新，我們對于對抗性圖像還知之甚少。沒人知道如何最好地創(chuàng)造它們、如何用它們來愚弄機器視覺系統(tǒng)、或者如何預(yù)防此類攻擊。

現(xiàn)在，Kurakin及同事的研究開始改變這一現(xiàn)狀，他們對對抗性圖像首次展開了系統(tǒng)研究。他們的研究說明了機器視覺系統(tǒng)在此類攻擊之下多么脆弱。

團隊開始使用了一個機器視覺研究的標準數(shù)據(jù)庫，名叫ImageNet。這個數(shù)據(jù)庫的圖像根據(jù)顯示的內(nèi)容進行分類。一個標準測試是基于這個數(shù)據(jù)庫的一部分來訓練一個機器視覺算法，然后利用數(shù)據(jù)庫的另一個部分來測試算法能否良好進行分類。

測試表現(xiàn)的測量方法是統(tǒng)計算法中最高五項回答、甚至最高一項回答中正確分類的頻率（被稱為前五準確率和前一準確率），或者中前五項或一項中回答不正確的頻率（其前五錯誤率或者前一錯誤率）。

最好的機器視覺系統(tǒng)之一是谷歌的Inceptionv3算法，其前五錯誤率為3.46%。進行同樣任務(wù)的人類的前五錯誤率為大約5%，因此Inceptionv3確實具有超人般的能力。

Kurakin和同事通過3種不同的方式修改了50,000張ImageNet的圖像，從而創(chuàng)造了一個對抗性圖像的數(shù)據(jù)庫。他們的方法是基于這個概念：神經(jīng)網(wǎng)絡(luò)處理信息，來將一個圖像與某個類別匹配起來。這項處理所需的信息量被稱為交叉熵，會體現(xiàn)出匹配任務(wù)的難度。

他們的第一個算法對圖像進行了一個小改變，試圖最大化這項交叉熵。他們的第二個算法只是將這個過程迭代，進一步改變圖像。

這兩項算法都改變了圖像，使其更難正確分類。“這些方法可以造成一些比較無聊的錯誤分類，例如將一種雪橇狗錯認為另一種雪橇狗。”

他們最終的算法有更聰明的方法。這種對圖像的改變讓機器視覺系統(tǒng)出現(xiàn)某種特定分類錯誤，更傾向于最不可能的類別。“最不可能的分類通常是與正確分類非常不同的，因此這項方法會造成更有趣的錯誤，例如將一只狗錯認為一架飛機。”Kurakin及同事說。

然后，他們測試了谷歌Inceptionv3算法能否良好分類50,000個對抗性圖像。

這兩個簡單的算法大大降低了前五和前一精確度。但是他們最強大的算法——最不可能的分類法——將所有50,000個圖像的精確度迅速減少至零。（團隊未透露算法在指引錯誤分類方面是否成功。）

這意味著對抗性圖像是一個重要威脅，但是這種方法也有一種潛在的弱點。所有對抗性圖像都是直接輸入機器視覺系統(tǒng)的。

但是在真實世界中，圖像總是經(jīng)過攝像頭系統(tǒng)的改變。如果這項過程中和了其效果，一個對抗性圖像算法就是無用的。因此，弄清楚算法如何應(yīng)對真實世界的改變就非常重要。

為了測試，Kurakin和同事講所有對抗性圖像和原始圖像打印出來，并手動用一個Nexus5智能手機進行拍照。然后，再將這些經(jīng)過轉(zhuǎn)變的對抗性圖像輸入機器視覺系統(tǒng)。

Kurakin和同事說最不可能類別方法受到這些轉(zhuǎn)變的影響最大，不過其他方法的承受度都還可以。換句話說，對抗性圖像算法在真實世界中的確是一種威脅。“很大一部分用原創(chuàng)網(wǎng)絡(luò)制造的對抗性圖像被錯誤分類了，即便是通過攝像頭輸入分類器。”團隊稱。

這項研究非常有趣，對于機器視覺的阿喀琉斯之踵帶來了新的認識。并且未來還有很多研究要做。Kurakin和同事希望針對其他類型的視覺系統(tǒng)開發(fā)對抗性圖像，使其更加高效。

這在計算機安全領(lǐng)域會引發(fā)討論。機器視覺系統(tǒng)現(xiàn)在比人類更能夠識別人臉，因此很自然我們會想到在更多的領(lǐng)域使用該技術(shù)，從解鎖智能手機和家門，到護照管控以及銀行賬號的身份信息。但是Kurakin和同事提出了輕松“愚弄”這些系統(tǒng)的可能性。

最近幾年，我們經(jīng)常聽到機器視覺系統(tǒng)能有多好。現(xiàn)在，我們才發(fā)現(xiàn)他們還有蠢蠢的阿喀琉斯之踵。

更多資訊請關(guān)注機器視覺頻道