在实际生活中,我们通常不会期望一个图像在经过缩小后变成另外一个模样完全不同的图像,但这样奇怪的事情可能会在人工智能领域发生。来自德国Braunschweig技术大学的研究人员通过大量实验已经证明,仔细修改数码照片的像素值可以使照片在缩小尺寸后变成与之前完全不同的图像,而这些对图像的修改操作在人工智能算法领域的影响值得被广泛关注。
图像缩放技术在人工智能研究领域有着十分重要的地位,但是也存在一些挑战。其主要的问题就是,恶意攻击者可以利用这种图像缩放技术,对用于人脸识别、目标检测等计算机视觉方向的机器学习模型发起对抗性攻击。其中,对抗性机器学习是一种对数据进行操作的技术,它能在不被人类察觉的情况下改变人工智能算法的行为,而创建对抗性的机器学习示例是一个反复试验的过程。
在今年Usenix安全研讨会上发表的一篇论文中,TU Braunschweig的研究人员就针对机器学习系统的分级和防止对抗性图像缩放攻击进行了深入的回顾。他们的发现不断提醒我们,AI算法许多隐藏的方面和威胁还未被发现,导致这些影响在我们的日常生活中正变得越来越突出。
对抗性图像缩放当在许多实例上训练时,机器学习模型创建不同类之间相似性程度的数学表达。例如,如果你训练一个机器学习算法来区分熊猫和长臂猿,它就会尝试创建一个统计模型来区分新图像中的像素是更像熊猫还是长臂猿。实际上,这些人工智能算法学习区分不同物体的方式与人类视觉的工作方式不同。大多数对抗性攻击利用这种差异,在改变机器学习系统输出的同时,进行人类肉眼无法察觉的细微调整。
例如,当你让一个人描述他是如何从图片中发现熊猫的,他可能会寻找一些目标的身体特征,比如眼睛周围的黑色毛发,黑白相间的皮毛以及体型大小。他可能还会给出其他的背景,比如他希望看到熊猫在什么样的栖息地,会摆出什么样的动作姿势等等。而对于人工神经网络来说,只要根据公式,通过计算机程序运行图像的像素值提供正确的答案,就确信所看到的图像确实是一只熊猫。
换句话说,通过正确地调整图像中的像素值,你也可以让AI误以为它看到的不是熊猫。
图像缩放攻击对于输入数据来说,每一个应用于图像处理方向的机器学习算法都有一系列的要求。这些要求主要包括图像的特定大小,但其他因素(如颜色通道的数量和颜色深度)也可能会被涉及到。无论你是在训练一个机器学习模型,还是用该模型进行推理,都需要对输入图像进行预处理以满足AI的输入要求。根据以上提及的所有需求,我们可以假定预处理过程通常需要将图像缩放到合适的大小。
TU Braunschweig的研究人员在其论文中强调,因为大多数机器学习模型使用的是少数流行的图像缩放算法之一,所以图像缩放攻击对AI来说是一个特别严重的威胁。这使得图像缩放攻击“与模型无关”,意思就是它们对目标人工智能算法类型不敏感,而单一的攻击方案可以应用于整个范围的机器学习算法。
对抗性机器学习也适用于音频和文本数据。从积极的角度来看,对抗性图像缩放的单一性使得更好地检查攻击和开发保护机器学习系统的新技术成为可能。TU Braunschweig的研究人员在文中写道:“由于机器学习模型的复杂性,针对学习算法的攻击仍然难以分析,但定义坚挺的缩放算法结构使得我们能更全面地分析缩放攻击并开发有效的防御技术。”
在他们的论文中,研究人员提供了几种阻挠对抗性图像缩放攻击的方法,包括平滑核函数的权重缩放算法以及可以消除篡改像素值影响的图像重建过滤器。“我们的工作为机器学习中预处理的安全性提供了新的见解,”研究人员写道。“我们相信,有必要进行深入的研究工作,从而确定和排除数据处理不同阶段的漏洞,同时加强以学习为基础的系统的安全性能。”