像素的微小改变足以应付AI图像识别系统
很多科学家制作“敌对”范例(adversarial examples)的图片,揭示了一些图像识别软件的弱点,而现在还没有快捷有效的方法来修复这些图像识别系统。
(这些乌龟在一些识别软件眼里看来是支枪..)
在一个日本九州大学的研究中,Su Jiawei和他的同事对大量图片进行微调,再用广泛投入使用的AI图像识别系统分析。这些系统基于深度神经网络(deep neural networks),通常通过识别大量不同图片范例来学习,达到准确辨认物体的功能。
但研究者发现改变仅仅一个像素点后,AI识别系统竟对74%的测试图片都辨认错误。有些错误还靠点边,比如把小猫错认成狗狗,但有的就很离谱,能把隐形轰炸机也识别成狗狗...
这些日本研究员研发了各种各样的的基于像素点的攻击并发现他们检测的所有最先进的图像识别系统都会犯错。Jiawei说现在还没有什么数传机或网络明显比其它更稳定。
(神经网络通过在大量节点之间建立连接来工作。)
现在越来越多的识别系统囊括神经网络,但人们可以利用“敌对”范例来攻击这些所谓的“智能”系统的事实让人担心。
Facebook、亚马逊、谷歌等公司都已开始研究解决方案,很明显这已不是什么特殊情况,而是普遍存在的问题。很多技术已被提出,但似乎都不能有效解决。
Jiawei猜测“敌对”范例利用了神经系统形成时学习方式的问题。像大脑中的神经细胞一样,神经网络在大量节点之间建立联系。通过分析,神经网络会做出很多决定来判断它看到的是什么,每个决定都使它更接近正确答案,但“敌对”范例处于这些决定之间的“边界”上,使神经网络很容易就做出错误决定。通过微小的变化,“敌对”范例使神经网络选择“边界”的另一侧并最后对图像做出错误的分类。
一个看似有前景的方法是把这些“敌对”范例应用于前期的训练学习中,这样神经网络就可以识别出来,但这种方法也不能解决暴露出的全部问题。
之前有的算法已经可以对自然景色进行分类,对不同景色的“优美”程度进行分级。林间小路,浩瀚大海,绿水青山等都是九分以上,而公路、废墟、工厂等地则只有一两分。这个系统对于城市建设者的决策有很大帮助,或许还可以帮助我们更好地保护环境。
图像识别系统会逐渐渗透到生活的方方面面,希望AI图像识别系统的问题可以尽快被解决,并更好的为我们的社会做出贡献。
在如今网络盛行的年代,一大堆美化软件让“有图有真相”成为了过眼云烟。图片美化在讨好自己的同时,更是在娱乐别人。不想再被美化的图片所欺骗?小编教你一个最直接最简单最有效的方法,一招轻松识别图片是否被P过!
打开一张需要鉴别的图片,这里的打开方式需要选择记事本方式打开。以小编使用iPhone 4S拍摄的照片为例,用记事本打开图片文件后,通过Ctrl+F快捷键搜索iPhone等关键字,可以看到照片的拍摄信息。
iPhone 4S拍摄的图片样张
通过搜索发现,我们可以看到这张图片的摄影日期,摄影设备等信息。
图片摄影的信息
下面我们准备使用Photoshop软件对照片进行处理,首先我们先看看通过记事本搜索photoshop等关键字均无搜索结果。
图片无任何photoshop信息
下图为使用Photoshop软件修改过的图片,我们通过使用记事本打开搜索发现出现了一行Photoshop编辑的信息。这就是图片被美化软件处理过的证据。
被处理过的iPhone 4S图片样张
搜索发现被Photoshop修改过的信息
近期,一群来自华盛顿大学网络安全实验室(NSL)的计算机专家发现,恶意攻击者可以欺骗Google的CloudVision API,这将导致API对用户提交的图片进行错误地分类。
近些年来,基于AI的图片分类系统变得越来越热门了,而这项研究针对的就是这种图片分类系统。现在,很多在线服务都会采用这种系统来捕捉或屏蔽某些特殊类型的图片,例如那些具有暴力性质或色情性质的图片,而基于AI的图片分类系统可以阻止用户提交并发布违禁图片。
虽然这种分类系统使用了高度复杂的机器学习算法,但是研究人员表示,他们发现了一种非常简单的方法来欺骗Google的Cloud Vision服务。
Google的Cloud Vision API存在漏洞
他们所设计出的攻击技术其实非常简单,只需要在一张图片中添加少量噪点即可成功欺骗Google的Cloud Vision API。其中的噪点等级可以在10%到30%范围内浮动,同时也可以保证图片的清晰度,而且这足以欺骗Google的图片分类AI了。
向图片中添加噪点其实也非常的简单,整个过程并不需要多么高端的技术,一切只需要一个图片编辑软件即可实现。
研究人员认为,网络犯罪分子可以利用这种技术来传播暴力图片、色情图片或恐怖主义宣传图片。除此之外,Google自己的图片搜索系统也使用了这个API,这也就意味着,当用户使用Google进行图片搜索时,很可能会搜索到意料之外的图片。
解决这个问题的方法很简单
研究人员表示,修复这个问题其实跟攻击过程一样的简单,所以Google的工程师们完全没必要紧张。
为了防止这种攻击,Google只需要在运行其图片分类算法之前,对图片中的噪点进行过滤就可以了。研究人员通过测试发现,在噪点过滤器的帮助下,Google的Cloud Vision API完全可以对图片进行适当的分类。
后话
研究人员已经将这种攻击的完整技术细节在其发表的论文中进行了描述,感兴趣的用户可以阅读这篇论文【传送门】。已经值得注意的是,这群研究人员在此之前也使用过类似的方法来欺骗Google的Cloud Video Intelligence API【参考资料】。注:他们在一个视频中每两秒就插入一张相同的图片,最后Google的视频分类AI会根据这张不断重复出现的图片来对视频进行分类,而分类的依据并不是视频本身的内容。
打开PS
然后没了