別再神話人工智慧了，現有的AI很容易被騙

AI技術目前還在初級階段，一個對於人類來說簡單至極的任務，到了AI模型面前卻成為巨大的挑戰。

李軍/文

1月初，人工智慧（Artificial Intelligence，AI）領域出現了一個標誌性事件：阿里巴巴和微軟的團隊在斯坦福大學的閱讀理解問答測試中，創造出超越人類水平的成績。因為這個，有些媒體打出大字標題：人工智慧的閱讀理解能力已經超過人類。

AI模型已經能夠比人類更好地理解文章內容了嗎？先放下這個問題，看看AI的另一類重要領域：圖像識別。

圖像識別是AI最早取得重大突破的領域。2012年，谷歌的兩位技術大牛Jeff Dean和吳恩達(Andrew Ng)構建神經網路模型，通過自主學習YouTube上的圖像資料，讓神經網路模型具備了對於貓的識別能力，並掀起了機器學習構建AI模型的行業熱潮。在最前沿的AI行業應用中，如自動駕駛系統，圖像識別也是其構建整個應用的基礎能力。所以圖像識別能力的發展實際上是整個AI產業能力發展的縮影。但就在2017年底至2018年初，AI的圖像識別似乎遇到一些難以解決的問題。這些問題，恐怕可以很好地說明一個真相：目前的AI能力，是十分容易被欺騙的，失之毫釐，謬以千里。

黑猩猩事件

2018年1月《連線》雜誌報道，谷歌公司偷偷地把「猩猩」（gorilla）、「黑猩猩」（chimp/chimpanzee）和「猴子」（monkey）標籤從圖片分類選項中去除。這是怎麼回事呢，事情還要從三年前說起。

2015年6月，一位黑人程序員在使用谷歌的照片分類模型對自己的照片進行自動分類標註時，驚奇地發現他的一位黑人好友的照片被打上了「猩猩」的標籤。他憤而將此事發布在互聯網上並得到高度關注。在一向強調政治正確和反對種族歧視的美國，一個企業的產品有如此嚴重的種族主義錯誤，這無論如何都是不能被接受的。谷歌公司的反饋也非常之快，他們立即就暫停了該分類標籤功能，並表示將儘快調整模型，從根本上防止此類事件的再度發生。當時提供這個分類標籤功能的，就是谷歌早期的AI圖像識別模型。

按理說，在AI技術飛速發展的三年後，藉助於更加豐富的數據來源和更加強大的雲計算平台，谷歌的圖像識別AI模型應該已經具備了比2015年精確得多的識別能力。

但谷歌最終的解決方法卻是靜悄悄地把引起麻煩的標籤從標籤庫中去除。我們雖然無法得知其中的細節，但對於目前AI模型的能力不由得會有一絲懷疑：準確區分靈長類動物和黑人對於AI模型就真的那麼難嗎？是的，在某些場景下，對於幾乎所有智力正常的人類甚至三歲小孩都能完成的圖像識別，對於AI模型卻是難上加難。

Google Inception v-3是Google公司在自己的AI平台Tensorflow上的開源圖像識別神經網路模型，Top-5錯誤率可以低到3.46％，代表了人工智慧圖像識別領域的領先水平（圖像識別的判別指標，模型對每幅圖像同時提供5個類別標籤，其中任何一個類別標籤判別正確，結果都算正確。當5個標籤全部錯誤，才算判別錯誤）。

麻省理工計算機科學和人工智慧實驗室的實驗人員2017年10月完成了一個有趣的實驗。他們通過對於被判別物體的表面和顏色進行特殊處理，單純改變表面材質和顏色進行欺騙，就可以讓Google Inception v-3圖像識別AI模型做出錯誤判斷，讓其把海龜識別為槍支，把棒球識別為濃縮咖啡（espresso）。

另一個有關圖像識別的欺詐則是來自於谷歌公司自己的研究團隊。他們在2017年12月創造出一種被稱為「對抗性補丁」( Adversarial Patch)的物體，能夠成功干擾現有的谷歌圖像識別AI模型，讓其把香蕉識別為烤麵包機。

正常狀態下，圖像識別模型能夠準確識別香蕉。但放置了這個「對抗性補丁」後，圖像識別模型立即產生錯誤判別。根據谷歌的研究結果，這種基於特定「補丁」的圖像識別攻擊，「補丁」面積只要佔據不到10％的識別面積，就可以達到90％以上的攻擊成功率。

令人驚嘆的是，利用「補丁」攻擊的過程非常簡單。這些干擾性「補丁」可以很方便地列印出來，添加到任何場景或圖片中，或者放置在被識別物品的旁邊，以便被圖像識別的攝像頭捕捉到。哪怕這個「補丁」很小，它們也能夠誘導AI模型忽略邊上應該被識別的物體，而把識別的焦點吸引到自身，最終導致AI模型做出錯誤的判斷。

一名人類兒童甚至一條狗、一隻貓在觀察圖像時會出現這樣的錯誤嗎？當然不會。這像神話一樣的操作，恰恰說明了目前基於AI的圖像識別，和人類以及動物的圖像識別模式是完全不同的。

我們知道，目前絕大多數圖像識別模型都是基於神經網路演算法構造的。這種演算法通過建立多重隱藏層和計算單元間複雜的連接關係，對圖像信息進行層層分解和抽象，從而構造出包含圖像內多重信息特徵的特徵圖。如明暗、顏色、形狀、相互關係等等。最後通過特徵圖內多重特徵信息的判別最終完成對於圖像的整體判別。

人類顯然不是這樣進行圖像識別的。如果識別機理相似，那欺騙AI的方式應該會對人類有起碼的干擾作用，但這些對於AI模型的干擾效果從人類的角度來看都像是笑話。

人類的大腦皮層對於圖像和形狀的判別機制目前幾乎是未知的。最新科技創造出的AI模型判別方式只是在某些方面達到了近似人類圖像識別的效果，但千萬不要認為AI真的認識圖像或形狀，它只是以一種你無法理解的方式對於圖像進行標記和識別。

為什麼谷歌公司歷時三年，都最終無法建立準確識別靈長類動物和黑人的AI模型？這就是原因。因為判別方式的天差地別，一個對於人類的簡單任務，到了AI模型面前卻成為巨大的挑戰。

真實世界的理性判斷

目前，絕大部分人工智慧模型都是基於神經網路這樣的「黑盒子」模型構建而成。雖然在絕大多數場景下，模型都能夠做出準確度較高的識別和預測。但識別和預測規則完全不透明的情況下，連研究者自己都不知道模型的判斷規則。這意味著一旦人工智慧被發現某些特定的缺陷，將有機會對其進行有針對性的欺騙。所以，AI模型圖像識別的缺陷有可能會在部分行業應用中導致嚴重的後果。

2017年9月，伯克利等四所大學的聯合項目組進一步研究了AI在自動駕駛系統中的應用。

項目組發現，只要在現有的交通標誌上粘貼少量圖形，就可以誘導自動駕駛系統把「停牌」標誌識別為「限速」標誌。

由於這些欺騙手段對於自動駕駛系統判別結果的干擾非常成功，這篇論文的標題甚至使用了「來自真實世界的穩健性攻擊——面向深度學習模型」（Robust Physical-World Attacks on Deep Learning Models）這樣字眼。

這些案例都是對被識別圖像進行少量的顯著修改來欺騙AI模型，由於這些修改相對明顯，人眼還可以主動識別出來。部分更加複雜的攻擊有可能以人類無法察覺的方式進行。

同樣還是谷歌的圖像識別模型，在正確識別的基礎上，麻省理工的研究者只是修改了少量的圖形像素，同樣達到了欺騙模型的目的，把槍支識別為直升機。而修改前和修改後的這兩張圖，人眼看來完全一樣。

所以，目前的AI模型，起碼在圖像識別領域，是可以被人為欺騙的。而欺騙的手段五花八門，甚至可以使用人類肉眼完全無法識別的方式進行。

阿里巴巴和微軟的AI模型在閱讀理解測試方面超過了人類。其實這一事件的意義並不是像普通大眾想像的那樣，AI模型已經可以比人類更好地理解文章內容了。

既然是閱讀理解測試，那麼決定最終成績的是測試結果。通過成績單可以總結出來，這個閱讀理解測試其實是回答填空題。填空題的答案是出現在文章中的某個日期、時間、對象等。

對閱讀理解考試有豐富經驗的人了解，先不通讀文章，能夠立即開始答題嗎？答案一定是可以。根據問題找答案，問時間找時間，問地點找地點，問對象根據上下文找名詞。不用閱讀文章並理解整篇文章的主旨，人類可以蒙對很多答案。

同樣地，對於AI模型來說，它只是建立了詞與詞、片語與片語的關聯關係，並結合上下文的位置信息，提供模型判別概率最高的答案。

如果你認為AI模型真的理解了它所閱讀的文章，那你就是用人類思維去套用AI的模型構造方式，這是完全不對的。最終AI模型只是根據文章形成詞與詞的關聯關係，並使用這一關聯關係回答問題。

所以，千萬不要相信，AI系統現在已經完全具備了識別、判斷甚至認知的功能。因為，AI目前具有的這些功能和人類通常意義上的理解是完全不同的。並且，我們也無法完全信任一個AI系統——現有的AI是非常容易被欺騙的，而且欺騙的操作可以非常簡單，這對於大眾認識AI併合理使用AI是非常重要的。

（作者為科技與互聯網資深分析師，編輯：謝麗容）

(本文首刊於2018年2月5日出版的《財經》雜誌)

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 財經雜誌 的精彩文章: