本文來自AI新媒體量子位(QbitAI)
上周,arXiv上的論文《NO Need to Worry about AdversarialExamples in Object Detection in Autonomous Vehicles》引起了廣泛讨論。作者Jiajun Lu等4人在論文中表示,自動駕駛汽車的檢測系統可能很難被抗樣本幹擾,因為它們捕捉到的圖像是多尺度、多角度和多視角的。
論文位址:
https://arxiv.org/abs/1707.03501
如果你還不了解對抗樣本,可以閱讀量子位的兩篇舊文:
<a href="http://mp.weixin.qq.com/s?__biz=MzIzNjc1NzUzMw==&mid=2247485129&idx=1&sn=553ffff1d60951e01cd8f8cd9dabf135&chksm=e8d3b1bbdfa438adbbde1da48f7e444dd5e1af8d62a7a1ef49b66562c18683e877ec204b1274&scene=21#wechat_redirect" target="_blank">想騙過人臉識别?一塊錢就夠了(附送幾組騙AI的方法+論文)</a>
可能對上述說法有些不服,昨天,OpenAI在官方部落格中怒怼這個觀點。量子位将OpenAI的“辯詞”編譯整理,與大家分享。
上面這隻小貓用标準彩打機列印出後,無論将它怎麼樣縮放及旋轉,仍會被分類器判定為顯示屏或桌上型電腦。
OpenAI希望通過進一步參數調試,去掉任何人眼可見的人工修飾痕迹——
開箱即用的對抗樣本在圖像轉換中确實不頂用了。
我們對上面這張貓咪圖檔做了一些小的改動,現在直接用ImageNet訓練的Inception v3來分類,會被識别成台式電腦。但隻要把它放大1.002倍,分類器将更可能将圖檔劃分到正确标簽tabby_cat(虎斑貓)——這就是一種不穩固的對抗樣本。
然而,我們想通過積極的嘗試來找到穩固的對抗樣本。因為已經有研究證明,實體世界中也有對抗樣本。
《實體世界中的對抗樣本》論文連結:
https://arxiv.org/pdf/1607.02533.pdf
通過投影梯度下降(Projected gradient descent)算法,可以找到能夠欺騙分類器的微小擾動,我們可以通過這種優化方法來建立對抗樣本。
我們不是為了找到從某個角度能夠形成“對抗”的點來優化,而是面向一整套随機分類器,它們會在對輸入進行分類前,随機調整它的尺寸。
這樣優化,我們能夠得到縮放不變(Scale-invariant adversarial examples)的,穩固的對抗樣本。
△ 一個尺度不變對抗樣本
即使我們隻修正與貓咪對應的像素,也同樣可以創造出一張無論怎樣縮放都能呈現“對抗”的擾動圖像。
通過對訓練擾動進行随機旋轉、轉換、縮放、噪聲和平移,我們可以用同樣的方法,生成無論怎樣轉換都呈現“對抗”的輸入。
以上是一個轉換不變對抗樣本(transformation-invariant adversarial example)。需要注意的是,這個樣本明顯比它的尺度不變樣本的擾動更大。這也不難了解,直覺上說,在轉換不變的樣本上,小對抗擾動更難察覺。
最後聲明一下,測試時我們對轉換進行了随機抽樣,以此證明我們的示例對整個轉換的分布是不變的。
【完】
本文作者:安妮
原文釋出時間:2017-07-18
![人工智能訓練,OpenAI 創造 Universe 虛拟世界[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)