OpenAI通過對抗樣本欺騙了神經網路

OpenAI創建了一種不管多大尺度以及任何角度瀏覽，都可以欺騙神經網路的圖像分類器。這挑戰了上周的一個成果聲明（自主車輛對象檢測中的對抗示例），自動駕駛車很難被欺騙，因為他們從不同尺度，角度，視角等方面來捕捉拍攝圖像。

這張清晰的貓咪照片被標準彩色印表機列印，不管它是放大或旋轉，欺騙分類器始終認定它是一個monitor或desktop computer。OpenAI預計進一步的參數調整也會消除任何人類可見的假象。

非常規的對抗樣本在圖像轉換下確實失效了。下面，我們展示了相同的貓咪圖像，使用ImageNet訓練，受到了Inception v3的不合理的擾亂，被錯誤地分類為desktop computer。縮小到1.002時，導致正確標籤的分類概率tabby cat可以覆蓋對抗標籤desktop computer。

然後，我們思考這種方式是否可以產生一個強大的對抗性樣本，因為對手的樣本已經顯示遷移到物理世界。

▍比例不變的對抗樣本

可以使用稱為投影梯度下降的優化方法來創建對手示例，以便警惕欺騙分類器的圖像帶來的小干擾。

我們優化了從單一角度找到一個對抗性的輸入，而不是優化一個隨機分類器的大型整體，隨機分類輸入。針對這樣的一個集合進行優化可以產生強大的對抗性樣本，它們保持規模不變。

即使我們限制自己僅修改與貓相對應的像素，我們可以創建一個單一的擾動圖像，同時對抗所有規模的對抗樣本。

▍轉型不變的對抗樣本

通過將訓練擾動中的隨機旋轉，平移，縮放，雜訊和平均偏移相加，讓同樣的技術產生了在任何這些變換下仍然是對抗性的單一輸入。

一個轉換不變的對抗例子。請注意，它比其不變尺度的表親明顯更加擾亂。這可能是至關重要的：直觀上看來，小的對抗擾動很難找到更多的轉換，一個樣本必須是不變的。

我們的變換在測試時間隨機抽樣，表明我們的樣本對變換的整體分布是不變的。

相關paper：

作者：Anish Athalye

整理：雷特

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！