【AI星球(微信ID:ai_xingqiu)】3月14日报道(编译:陆一)
因为机器学习算法对人工智能的发展起着至关重要的作用,所以随着科学家们对这一算法的研究有了质的飞跃以后,各大科技公司也都在奋力地开发人工智能。不过现在人们发现,深层神经网络软件存在着一个严重的问题:稍微修改一下图像、文本或音频,都会影响到系统的识别能力,并且让系统产生错误的感知。
这对依赖于机器学习的产品(比如自动驾驶汽车)来说是一个非常严重的问题,特别是在产品的视觉处理能力方面。现在,研究人员正在努力开发能够防御这些攻击的方法。
1月份的时候,机器学习的顶级会议ICLR(International Conference on Learning Representations)介绍了11篇关于防御的论文。但是,就在三天后,麻省理工学院的学生Anish Athalye表示,目前提出的这些防御方法并不能有效的应对攻击,他们已经攻破了7篇上述论文所提供的防御方法。他的这一结论主要出自于他们团队的一个研究项目,该项目的另外两位负责人是Nicholas Carlini 和David Wagner,他们分别是加利福尼亚大学伯克利分校的研究生和教授。
目前,学术界对这一研究项目的发现并没有什么太大的争议,他们也都认为,在消费级产品和自动驾驶层面,目前还没有什么很好的办法可以用于更好地保护深层神经网络免受攻击。Battista Biggio是意大利卡利亚里大学的一名助理教授,他研究机器学习安全已经有十来年了。在他看来,当前这些系统都还不足以抵御这一类的攻击,并且机器学习界还没有出现什么可以用来评估系统安全性的方法。
下图是出现在美国著名杂志《连线》中的一张图,人们一眼就能分辨出这是两个在滑雪的人,但是谷歌的图像识别工具Cloud Vision却说这是一只狗,并且肯定程度高达91%。
到目前为止,上述问题还只是出现在实验室的模拟实验中,并没有在现实生活中遇到过。尽管如此,人们还是意识到了解决这一问题的紧迫性。要想进一步发展自动驾驶汽车的视觉系统或者提高语音助手支付的安全性,都需要先解决好这上述问题。博士后研究员Bo LiLi表示,上述问题很可能会带来巨大的威胁。
被Athalye的团队“攻破”的7篇论文中,有一篇就出自Li之手。作为论文的合著者之一,Li和其他作者一起在这篇论文中介绍了一种可以用来分析对抗性攻击的方法,并指出该方法还可以用于检测。Li坦然地接受了Athalye的团队对论文所作出的“攻击”,并表示他们提出的防御方法既然能被攻破,就说明他们的研究还存在着一些问题,这些都将进一步推动他们研究的发展。
为了提高对这些攻击的防御能力,机器学习的研究者们可能需要更加谨慎。上个月发布的一份重要报告也提出了类似的建议。报告指出,机器学习研究者们需要更多考虑一下他们创造的科技将被如何利用或者滥用,以便更好的防范各种可能出现的危险。
对于一些AI系统来说,防范这些对抗性攻击可能要比做其他方面的事情更加容易一些。Biggio表示,训练检测恶意软件的学习系统要更容易。因为恶意软件是功能性的,这就限制了它的多样性。而保护计算机视觉系统则更加困难,因为自然世界变化多端,图片中会含有很多像素。
为了解决这个对自动驾驶汽车来说至关重要的问题,研究人员可能需要对机器学习进行更彻底的思考。在Li看来,最根本的问题就是,深度学习神经网络和人脑有着很大的不同。
人类并不能对来自感官的欺骗完全免疫。我们可能会被看到的事物所误导。最近谷歌在的一篇论文创造了奇怪的图像,它欺骗了软件和人类,让他们在不到1/10秒的时间内把图像里的猫误认为是狗。但是,在解释照片时,我们看的不仅仅是像素的图案,还要考虑图像不同组成部分之间的关系,例如人脸的特征。
谷歌最杰出的机器学习研究员Geoff Hinton表示,他们正在努力开发机器的这种识别功能,以实现其能在几张而不是几千张图片中识别物体。Li表示,如果机器能够拥有一个更加人性化的视角,那么将极大的提高它们的辨识能力。现在,Li等人已经开始和神经科学家、生物学家合作,试图从大自然中获取一些线索。