CNN對抗補丁之謎

作者｜Sachin Joglekar

譯者｜王純超

編輯｜Emily

AI 前線導讀：雖然過去幾周的許多文章都談到了最近的對抗補丁（adversarial patch），但還沒有人解釋它們是如何工作的。本文也不例外。

更多乾貨內容請關注微信公眾號「AI 前線」，（ID：ai-front）

首先說一下基本概念。

對抗攻擊基本上指提供一個欺騙性的輸入給 ML 模型，誤導它產生錯誤的結果。這個結果可能是不正確的，或者是攻擊者想要獲得的某個目標分類。

這篇 Ycombinator 博文很好地解釋了神經網路對抗攻擊。文章太長，簡單來說就是：

• 輸入：圖像 I、目標分類 C 和神經網路 N

• 輸出：誤導 N 預測 C 的修改後的圖像 I"

• 過程：首先隨機取一個雜訊濾波器 X。結合 I 和 X，輸入到 N。使用快速梯度逐步方法（梯度下降的一種形式）來修改 X，以達到兩個目標：

這種簡單方法的效果令人驚訝，而且雜訊（X）可能很難檢測到：

但是，這種方法要求為每張想要誤導神經網路的圖像執行漸變下降。從本質上說，你無法使用這種方法在運行過程中攻擊模型。這就需要使用對抗補丁了。

• 輸入：目標分類 C 和神經網路 N（注意，這裡沒有輸入圖像）

• 輸出：補丁 P，將它以任何方式應用到任何圖片，N 的預測都為 C

• 過程：

這個方法相當有效（請觀看 https://youtu.be/i1sp4X57TL4）。

它為何與眾不同呢？

它給對抗攻擊一個全新的維度。例如，假設你要欺騙一個用來監控搶劫的人臉檢測相機。你可以隨身攜帶一個對抗補丁，從根本上讓相機誤以為看到一棵正在移動的樹！

當然，要達到這個目的，你還需要訪問預測神經網路。這篇論文決不是完全否定卷積神經網路對於圖像分類系統的意義。但是，這項工作無疑是探索自動化系統的薄弱環節和安全隱患的正確方向。

查看英文原文：

https://codeburst.io/adversarial-patches-for-cnns-explained-d2838e58293

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！