動畫片「攻殼機動隊」中有一個很有名的角色叫做「笑臉男」,講的是一名超級電腦駭客,能夠即時在所有的監視影像中以笑面標誌遮住臉部以隱瞞自己的身分。也表示了在時時都有攝影機在監控的時代,人類需要一種反制的方式。在學界,的確也有類似的研究。
Google和紐約大學的研究人員在2014年就進行過一項研究,證明了物體和臉部檢測演算法容易受到對抗性攻擊,在研究中,辨識模型可以被附加在目標上的一些特殊圖案所欺騙。
大多數對抗性攻擊的研究涉及到像玻璃框架、停車標誌或硬紙板這樣的堅硬物體。但是西北大學和MIT-IBM Watson AI實驗室的研究人員提出了一種他們稱之為「對抗式」的T恤,儘管這種印有圖案的T恤會隨著人體姿勢的改變而變形,但也能很好的避開人體探測器。
他們聲稱,針對流行的YOLOv2模型,它在對抗辨識的成功率分別達到了79%和63%。
今年年初,KU Leuven大學的工程師們也進行了一項類似的研究,他們展示了如何利用列印的圖案來愚弄人工智慧,同時,該大學的團隊也聲稱他們的技術可以設計成這樣一件對抗人體辨識的T恤。
研究人員從研究中發現,一些對抗性的轉換(transformations)常用於欺騙分類器,包括縮放、平移、旋轉、亮度、噪音和飽和度調整。但是他們說,這些很大程度上不足以模擬由人體姿勢變化引起的變形。因此,他們採用了一種稱為薄板樣條(TPS)的數據插值和平滑技術,該技術利用仿射(保留點、直線、平面)和非仿射份量來建立坐標變換模型,為非剛體對象提供一種學習對抗模型的方法。
研究團隊收集了兩個數據集,並進行了一系列實驗,讓模型在物理和數位世界中學習和測試他們的攻擊演算法。兩個訓練數據集中包含了三類影片,第一類是在數位環境中,穿著對抗性T恤的虛擬移動人物在30個不同場景中拍攝的30個影片;第二類包含在相同環境中使用不同虛擬人物拍攝的10個影片;第三類是一個真實世界的數據集,包括10個測試影片,影片中有一個人穿著一件對抗性T恤在運動。
模擬測試中,研究人員在對抗R-CNN模型和YOLOv2模型的人體檢測中,分別獲得了65%和79%的攻擊成功率。在現實測試中,對抗性t恤騙過兩種模型的幾率都是65% ——至少在單人對抗情況下,如果有兩個或兩個以上的人,成功率就會下降。
但是,這種方法很可能騙不了像亞馬遜網路服務、Google雲端平台和微軟 Azure 這樣更複雜的對象和人員檢測模型。雖然65%的成功率說起來也只比隨機成功稍好一點。但研究人員認為,他們的工作是邁向可以躲避移動人員檢測的對抗性可穿戴設備的第一步。
論文的合著者寫道:「由於T恤衫是非剛性物體,因此在產生對抗性干擾時,應該考慮到運動人體姿態變化所引起的變形。基於我們的研究,我們希望透過人體服裝、配飾、臉部塗料和其他可穿戴設備為這種對抗干擾提供一些啟發。」
- 論文下載:https://arxiv.org/pdf/1910.11099.pdf
- 資料來源:Researchers foil people-detecting AI with an ‘adversarial’ T-shirt
- 本文授權轉載自大數據文摘
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!