前言
在我們的現實生活中,攝像頭是無處不在的,小到每家每戶門口的小型攝像頭,大到各個十字路口上的公安局天網攝像頭,讓我們的路徑行蹤時時刻刻都是暴露在資訊網裡面。再者,現在人工智慧日漸發達,有著AI系統的配合,使得視訊監控系統進一步強大了起來。
然而最新的研究發現,只要一張列印出來的貼紙,就能“欺騙”AI系統!下面讓我們探討這個發現吧。
一張圖片就能“隱身”?
來自比利時魯汶大學 (KU Leuven) 幾位研究人員最近的研究發現,藉助一張簡單列印出來的圖案,就可以完美避開 AI 視訊監控系統。
已小編之前的瞭解,兩個人的任何動作都會被AI識別出來,但現在,他們在AI面前練成“隱身術”,只要在肚子上貼一張圖片。雖然肉眼看得到你在揮手,目標檢測演算法已經當你不存在了。
當然要記住,這難道就是真正意義上的隱身?如果我們走在路上帶著這張圖片,AI不會把我們識別成其他物件,是全然忽視存在,只看到旁邊的兄弟,這樣想想豈不是很刺激。
那麼把這張圖片穿個旁邊的兄弟呢?
AI就能識別出身形了,但是旁邊那位兄弟就“隱身”了。要知道 YOLOv2 可是目標檢測界的翹楚者。如此一來,是不是就能逃過智慧監控系統,潛入某個空間,做奇怪的事情也不被察覺……人類真危險。
其實對於AI 系統只能成功檢測到左邊的人,而右邊的人卻被忽略了,是因為右邊的人身上掛著一塊彩色紙板,在論文中被稱為 “對抗性補丁”(adversarial patch),正是這塊補丁 “欺騙” 了 AI 系統,讓系統無法發現畫面中還有一個人。
這種欺騙利用了一種稱為對抗性機器學習的方法。大多數計算機視覺系統依賴訓練 (卷積) 神經網路來識別不同的東西,方法是給它提供大量樣本,調整它的引數,直到它能正確地分類物件。通過將樣本輸入一個訓練好的深度神經網路並監控輸出,可以推斷出哪些型別的影象讓系統感到困惑。
寫出“對抗性補丁”,就可以“隱身”了:
他們是如何生成這塊神奇的 “對抗性補丁” 的呢?
優化目標包括以下三個部分:
Lnps:非可列印性得分,這個因子表示貼紙中的顏色在多大程度上可由普通印表機列印出來。有下式:
其中 ppatch 是貼紙中的一個畫素,而 cprint 是一組可列印顏色 C 中的顏色。這種損失有利於確保影象中的顏色與可列印顏色集中的顏色密切相關。
Ltv:影象總變化。該損失函式損失確保優化器支援平滑顏色過渡的影象並防止影象噪聲。可以由 P 計算 Ltv:
如果相鄰畫素相似則得分較低,如果相鄰畫素不同則得分較高。
Lobj:影象中的最大物件分數。補丁的目標是隱藏影象中的人。所以訓練的目標是對探測器輸出的目標或類別分數實現最小化。將這三個部分相加得到總損失函式:
採用由經驗確定的因子 α 和 β 對三個部分進行按比例縮放,然後求和,並使用 Adam 演算法進行優化。優化器的目標是總損失 L 的最小化。在優化過程中凍結網路中的所有權重,並僅更改 patch 中的值。在過程開始時,以隨機值對 patch 進行初始化。
實驗結果:
事實證明這確實是一個很大的漏洞,使得報警機率明顯降低,攝像頭不在安全。那很多人就會問,如果做一件這樣的衣服,那不就可以為所欲為了嗎?小編也在想什麼時候可以印一件衛衣啊。
其實實驗主要用了三步的優化,來解決這個問題:
·首先要保證,定製的紋理圖列印出來還能被AI捕捉到。如果紋理用到了許多列印不出的顏色,就不太樂觀了。所以,要測量一個“不可列印”的分值。
·第二要保證,定製紋理圖上的顏色過度平滑,避免噪點過多。所以,需要測量一張影象的總變化值 (Total Variation) ,任意兩個畫素的色彩越相近,這個值就越小。
·第三最重要,就是讓YOLOv2看不出人來。也就是讓AI給出的分類結果,分值降低,變成不太確定的分類。
最後:
小編很是佩服外國人的腦洞和他們的創新能力,也打破了很多人之前對於智慧監控系統的瞭解。但是今天我們人類發現了AI的致命缺陷,明天它就會進一步完善,變得更加強大。