论文部分内容阅读
它们是世界上最高级的算法,它们的视觉识别能力比人类还厉害:深度神经网络只需一瞥便能识别各式各样的物体,动物、人脸、指示牌……人工智能技术正在掀起一场全方位的革命。
但这一成功的背后隐藏着一个漏洞,一个谁也没有料到的惊人软肋……尽管问题还未在大众媒体上曝光,但近两年来已有不少研究团队投入这场救火行动。究竟是什么问题?听好了:这套无与伦比的算法会被莫名其妙的视错觉干扰,从而犯下低级错误!
选取某物体的一张数码照片,巧妙地改动它的几个像素值……人眼完全看不出修改前后的差别,可算法系统立刻就“看到”了另一个毫不相干的物体。一张稍作处理的熊猫照片,人工智能看到的却是一只猴子,而且确定程度超过99%。把乌龟看成冲锋枪,把滑雪者看成狗,把猫看成公交车,把乔治·克鲁尼看成达斯汀·霍夫曼,把橙子看成直升机……此类案例不一而足。
更糟糕的是,据美国麻省理工学院机器学习理论家安德鲁·伊利亚斯透露,“现在还没有人能解释这一现象”。必须承认,信息科学家至今仍不能理解,在这些极高维度的计算空间里究竟发生了什么。
这些超现实主义画派风格的“黑客”实验或许令人发笑。但你若是知道这些算法将被用于我们的日常生活,就一定笑不出来了。它们可能会把标记“停”的交通指示牌看成“优先通行”,把红灯看成绿灯,把恶性肿瘤看成健康器官的一部分,把学校看成军事打击目标,把炸弹看成三明治,把恐怖分子看成执法人员,把一起谋杀看成平常事件,或者反过来……或许几十年后的信息战就是这个样子?
在一些大学及行业巨头,如谷歌或脸书的实验室里进行的最新研究显示,上述风险确实存在。“最初的实验在严格控制的实验室条件下进行,哪怕開放了目标模型的所有内部参数,计算时间还是很长。”比利时根特大学神经网络数学专家乔纳森·佩克介绍道,“但现在情况不一样了,这种袭击已经变得轻而易举。”
近期的研究表明,这种细微的视错觉在现实应用中仍然存在。例如用普通的智能手机在运动中拍照,在不同角度与光线条件下都会造成人工智能判断错误。美国的一个研究团队证实,在标记“停”的交通指示牌上粘上一层贴纸,对标记进行精心篡改,人类驾驶员不会上当,却能骗过所有自动驾驶汽车:卡耐基梅隆大学的研究人员则借助印有图案的眼镜,把一个用于面部识别的人工智能程序骗得团团转。
此类攻击不但有可能出现在我们的日常生活中,而且实施者根本不需要侵入目标系统。“在我最近参与的对某些形式的攻击的研究中,对手只需用几张准备好的图片对相关算法进行测试,观察其反应即可。”宾夕法尼亚州立大学的尼古拉斯·帕佩尔诺表示。他利用这种方法骗过了亚马逊和谷歌的人工智能机器人,二者的确信度分别为96%和88%。而雪上加霜的是,针对某一种人工神经网络设计的攻击,通常也能干扰其他架构的人工智能。
更何况现在每天都会增加一些新的攻击形式!谷歌的一个团队刚刚研制出一种奇特而令人生畏的武器:一张贴纸。它十分显眼,看起来毫无破坏性,可它能让今天所有的人工智能相信,被它标记过的物品或生物都是同一件东西——烤面包机。
面对上述威胁,信息技术领域的部分人员已经积极行动起来,寻找解决办法。“起初人们设计这些系统时,并没有想到它们会面对对手。”尼古拉斯·帕佩尔诺提醒道。人们想出很多策略来检测和清除此类恶意干扰,但暂时还没有找到行之有效的办法。研究人员几乎无法从理论上证明人工神经网络运行可靠,而且一直没有找到被误判的图片的共同特点——去年秋天,加州大学伯克利分校的一个研究团队轻轻松松就骗过了目前提出的十种探测攻击图片的方法。“这段时间我们就像在进行某种军备竞赛:研究人员不断提出新的保护方案,而其他人几乎立刻就能攻破它们。”乔纳森·佩克说。这是一场永远不会真正结束的小游戏。
人工智能的未来会系于此吗?该漏洞会让方兴未艾的数码革命完结吗?那些投入数十亿欧元的项目会因此中断吗?现在下结论还为时过早……乔纳森·佩克认为“风险实在太大,可能会减缓甚至终结自动驾驶汽车的发展”,而另一些研究人员将这个漏洞看作在关键应用中使用人工智能之前所必须克服的一个挑战。但所有人都同意,这个漏洞可能产生有益的刺激,推动我们在使用这些偶尔“行为诡异”的人工智能算法时,不断寻求更可靠、更适宜的方式。
(奇 点摘自《新发现》2018年第9期)
但这一成功的背后隐藏着一个漏洞,一个谁也没有料到的惊人软肋……尽管问题还未在大众媒体上曝光,但近两年来已有不少研究团队投入这场救火行动。究竟是什么问题?听好了:这套无与伦比的算法会被莫名其妙的视错觉干扰,从而犯下低级错误!
选取某物体的一张数码照片,巧妙地改动它的几个像素值……人眼完全看不出修改前后的差别,可算法系统立刻就“看到”了另一个毫不相干的物体。一张稍作处理的熊猫照片,人工智能看到的却是一只猴子,而且确定程度超过99%。把乌龟看成冲锋枪,把滑雪者看成狗,把猫看成公交车,把乔治·克鲁尼看成达斯汀·霍夫曼,把橙子看成直升机……此类案例不一而足。
更糟糕的是,据美国麻省理工学院机器学习理论家安德鲁·伊利亚斯透露,“现在还没有人能解释这一现象”。必须承认,信息科学家至今仍不能理解,在这些极高维度的计算空间里究竟发生了什么。
这些超现实主义画派风格的“黑客”实验或许令人发笑。但你若是知道这些算法将被用于我们的日常生活,就一定笑不出来了。它们可能会把标记“停”的交通指示牌看成“优先通行”,把红灯看成绿灯,把恶性肿瘤看成健康器官的一部分,把学校看成军事打击目标,把炸弹看成三明治,把恐怖分子看成执法人员,把一起谋杀看成平常事件,或者反过来……或许几十年后的信息战就是这个样子?
极其简单的攻击
在一些大学及行业巨头,如谷歌或脸书的实验室里进行的最新研究显示,上述风险确实存在。“最初的实验在严格控制的实验室条件下进行,哪怕開放了目标模型的所有内部参数,计算时间还是很长。”比利时根特大学神经网络数学专家乔纳森·佩克介绍道,“但现在情况不一样了,这种袭击已经变得轻而易举。”
近期的研究表明,这种细微的视错觉在现实应用中仍然存在。例如用普通的智能手机在运动中拍照,在不同角度与光线条件下都会造成人工智能判断错误。美国的一个研究团队证实,在标记“停”的交通指示牌上粘上一层贴纸,对标记进行精心篡改,人类驾驶员不会上当,却能骗过所有自动驾驶汽车:卡耐基梅隆大学的研究人员则借助印有图案的眼镜,把一个用于面部识别的人工智能程序骗得团团转。
此类攻击不但有可能出现在我们的日常生活中,而且实施者根本不需要侵入目标系统。“在我最近参与的对某些形式的攻击的研究中,对手只需用几张准备好的图片对相关算法进行测试,观察其反应即可。”宾夕法尼亚州立大学的尼古拉斯·帕佩尔诺表示。他利用这种方法骗过了亚马逊和谷歌的人工智能机器人,二者的确信度分别为96%和88%。而雪上加霜的是,针对某一种人工神经网络设计的攻击,通常也能干扰其他架构的人工智能。
更何况现在每天都会增加一些新的攻击形式!谷歌的一个团队刚刚研制出一种奇特而令人生畏的武器:一张贴纸。它十分显眼,看起来毫无破坏性,可它能让今天所有的人工智能相信,被它标记过的物品或生物都是同一件东西——烤面包机。
军备竞赛
面对上述威胁,信息技术领域的部分人员已经积极行动起来,寻找解决办法。“起初人们设计这些系统时,并没有想到它们会面对对手。”尼古拉斯·帕佩尔诺提醒道。人们想出很多策略来检测和清除此类恶意干扰,但暂时还没有找到行之有效的办法。研究人员几乎无法从理论上证明人工神经网络运行可靠,而且一直没有找到被误判的图片的共同特点——去年秋天,加州大学伯克利分校的一个研究团队轻轻松松就骗过了目前提出的十种探测攻击图片的方法。“这段时间我们就像在进行某种军备竞赛:研究人员不断提出新的保护方案,而其他人几乎立刻就能攻破它们。”乔纳森·佩克说。这是一场永远不会真正结束的小游戏。
人工智能的未来会系于此吗?该漏洞会让方兴未艾的数码革命完结吗?那些投入数十亿欧元的项目会因此中断吗?现在下结论还为时过早……乔纳森·佩克认为“风险实在太大,可能会减缓甚至终结自动驾驶汽车的发展”,而另一些研究人员将这个漏洞看作在关键应用中使用人工智能之前所必须克服的一个挑战。但所有人都同意,这个漏洞可能产生有益的刺激,推动我们在使用这些偶尔“行为诡异”的人工智能算法时,不断寻求更可靠、更适宜的方式。
(奇 点摘自《新发现》2018年第9期)