打开正经图片,你可能会看到一张黄图,这种造假方法能同时骗过AI和人眼

晓查 发自 凹非寺

量子位 报道 | 公众号 QbitAI

你能看出下面两张图有什么区别吗?

△ 点击查看大图

它们看起来一样,都是广场风景照。只是右边的仔细一看,会发现有些“奇怪的点阵”。

但在AI的眼里,右边的照片却是一只哈士奇。为什么?

问题就出在那些“奇怪的点阵”里,原来把点阵重新组合,就能看到哈士奇的缩略图。

这种骗过AI的方法其实并不新鲜,也不复杂。AI技术还未流行的时候,已经有网友在泡论坛的时候发现了这种技巧:

把一张正常图片缩小后在色情图片里,没点进帖子,缩略图上看到的是一张无害照片。但是如果你当众点开了这个帖子,一张黄图显示在眼前,立刻让你“社会性死亡”。

比如把著名的花花公子封面女郎Lena稍微伪装一下,缩略图就变成了一个长发男子。

在今年的USENIX安全研讨会上,来自德国布伦瑞克大学的团队提出了这种攻击AI的方法:图片缩放攻击(image scaling attack)。

骗过AI和人眼

图片缩放攻击的操作原理很简单,把需要隐藏的图像按比例插在新图像的像素中,一般大图是小图的5到10倍。

当图像交给AI模型处理时,出于计算成本考虑,系统一般会进行预处理,也就是图片压缩到比较小的尺寸。而且卷积神经网络本身处理图像时,还会进行池化(pooling)。

不仅AI,人眼也会过滤掉图像像素中的“少数派”,被这种攻击方法骗过。

下面,我们来看看把文章开头的右侧图片用OpenCV的图像压缩预处理一下的结果:

广场照真的变成了哈士奇。缩小的图片和原来的图片完全不一样!

除了OpenCV外,该团队还测试了PyTorch的Pillow和TensorFlow的tf.image,几种常见的图像滤波器全部都中招了。

原理

缩放攻击的根本原因是,下采样和卷积相互作用的结果。通俗来说,就是算法没有同等地考虑源图像中的所有像素。

因此,攻击者只需修改一小部分权重较高的像素,就能改变缩略图,图片其余大部分像素保持不变。

下面以一维情况来简单说明一下攻击的基本原理。

压缩图的像素是这样算出来的:滤波器窗口在图片源信号s上移动,将窗口中的每个像素值(图中圆圈)乘以该位置窗口上的权重,得到缩略后的点值。

可以看到,输出缩略图图中的第一个像素是s第三、第四个像素的平均结果,而第二个像素仅考虑了s第七个像素。导致9个像素中只有3个被用于计算缩略图。

只有那些靠近内核中心(三角形部分)的像素会获得较高的权重,而其他像素对缩略图的作用有限。

如果算法的步长超过窗口宽度,甚至有些像素还会被忽略。因此,攻击的成功取决于高权重像素的稀疏性。

如果要进行图像缩放攻击,需要做到两点。首先,修改少数影响压缩算法的像素;其次,攻击图像在视觉上与源图像匹配。

如何预防

图像缩放攻击原理简单,能同时骗过人眼和AI,因此布伦瑞克大学团队认为这种攻击具有一定的迷惑性。

经过处理的图像中,在后端,可以逃过AI对图片的审查;在前端,可以骗过收集数据集的人,污染AI训练数据集。

如果有人把这些图像掺进自动驾驶训练数据集,那么我们用训练出来的自动驾驶系统可靠吗?在这种情况下,汽车会不会发生意外?

当然,这种方法并非不可预防。

既然问题出在图像压缩的滤波器上,那么我们只要选择合适的滤波器就能抵御攻击。

实验表明,中值滤波和随机滤波对非自适应攻击提供了有效的防御。

具体到代码上,如果你在使用OpenCV,可以通过在调用resize API时使用interpolation参数来解决,而不要使用默认值。

TensorFlow 2.0依然容易受到攻击,双线性和双三次缩放对图像缩放攻击具有鲁棒性,可将参数antialias设置为true,但是此举会影响网络性能。

此内容由腾讯新闻提供

(0)

相关推荐

  • 老眼点图片

    本页是关于老眼点的图片,图片所在的文章是:<心悸,糖尿病,白内障,眼睛疲劳,近视,耳鸣的按摩部位及按摩要点>.这是一张宽181像素,高182像素的图片,图片文件大小是8863Byte. 图 ...

  • 如何使用AI给像素化图像上色

    如何通过ai来制作像素画的图像,像素图像一般就是通过缩小图片,然后再将图片进行放大,设置为像素预览模式,就会让画面呈现为小方格,下面小编来教大家如何给这样的图像进行填色. 1.首先我们导入一张制作好的 ...

  • 谷歌研究新算法:低清图秒变高清图

    Google研究人员在AI博客上介绍了两项AI技术,能以惊艳的效果增强低分辨率图像,把低清图片变成高清图片. 简单来说,就是通过重复细化的超分辨率(Super-Resolution via Repea ...

  • 普通图片一秒变黄图,这种技术太骚了

    最近小雷闷得慌,又跑去Github翻程序员大佬们的作品和源码了. 网页滑了10分种,翻是翻到好东西了,但小雷对「眼见为实」这个词儿又产生了怀疑...... 不用着急问小雷为什么,先瞅一眼下面的图,这是 ...

  • MIT展示全新的欺骗算法,让AI错误识别图像

    麻省理工学院被誉为黑客的摇篮,这里为世界各地的科技公司输送了大量的技术人才,最近MIT的计算机科学与人工智能实验室(CSAIL)的研究表明,即使是最先进的人工智能,比如Google的图像识别AI也可能 ...

  • 打开正经图片,却看到一张黄图,这种造假方法能同时骗过AI和人眼

    你能看出下面两张图有什么区别吗? 它们看起来一样,都是广场风景照.只是右边的仔细一看,会发现有些"奇怪的点阵". 但在AI的眼里,右边的照片却是一只哈士奇.为什么? 问题就出在那些 ...

  • 人工智能是如何识别一张黄图的?

    前言 本文尝试用通俗的语言为大家介绍人工智能是如何实现"黄图"的识别的,全文没有复杂的公式和晦涩的术语,适合初级技术人员和有强烈好奇心的读者.如果有兴趣对文章内提及的一些人工智能的 ...

  • 20万张黄图被藏在北极,留给1000年后的人

    最近,GitHub 开启一项能够流传千古的大事业,Github  把 21TB 的源代码,运到了北极储存起来. 据说能保存 500-1000 年之久. 在2019年,GitHub 就公布了这个计划,开 ...

  • 30张性与爱的图片,看到最后一张惊呆了!

    天空月儿圆圆,星星静静闪烁.又是一个宁静的夜晚,愿圆圆月儿为你带去甜甜美梦,愿闪闪星儿伴你一觉直睡到天亮!亲爱的朋友,晚安! 天空月儿圆圆,星星静静闪烁.又是一个宁静的夜晚,愿圆圆月儿为你带去甜甜美梦 ...

  • 一组吓人图片,看到第3张就受不了了!千万别尖叫

    恐怖的自然灾难动图大集合,有些是实拍,有一些是电影片段!都难得一见,一起来感受一下大自然的力量吧! ▼ 火山喷发 火山喷发是一种奇特的地质现象,是地壳运动的一种表现形式,也是地球内部热能在地表的一种最 ...

  • 36张性与爱的讽刺图片,看到最后一张我沉默了!

    今天佳帖 小时候看似一肘可及的梦想,长大竟发现 ... 根本不是真的. 现代人的压力. 现代家庭的现状,爸爸只是一个倒影,这种现象称为"假性单亲妈妈".坐在天称两端的男女都在思考如 ...

  • 网友总结'超TM有趣的图片',每一张都让人惊叹啊!

    在reddit所有版块中,interestingasf**k肯定是最热门的其中一个, 里面是网友们po出的各种有趣的图片,有自然中令人惊叹的存在,也有现实中神奇的巧合. 一起来感受一波吧~ 大猩猩宝宝 ...

  • ps打开raw图片视频:设置acr图片参数到ps打开为智能对象

    ps打开raw图片视频|acr图片到ps打开视频|设置raw图片参数视频|打开raw图片对象视频 本视频教程由部落窝教育分享.

  • 6张色盲图,图片中有一匹“马”你看到了吗?看不到,可能是色盲

    现如今汽车的数量可以说是越来越多了,因此去考驾照的人也是日益增多.然而说起考驾照,话说大家都知道一点,那就是考驾照时,几乎所有的人都需要做一个色盲方面的检测,而一旦说这个人被检查出来有色盲问题,那么几 ...