人脸识别越来越常见，今年春运已经能刷脸进站，iPhone的相册就能用人脸分类照片，社交网站上能根据人脸标记照片。然而如同央视315提醒的那样，这项技术距离无懈可击还有一段距离。

比如说，一副成本1块钱的眼镜，就能骗过人脸识别的AI。

一个能够愚弄人脸识别AI的眼镜

来自卡内基梅隆大学(CMU)的研究人员表示，佩戴专门设计过的眼镜架，可以愚弄最先进的面部识别软件。一副眼镜，不单可以让佩戴者消失在人工智能识别系统之中，而且还能让AI把佩戴者误以为是别人。

一副眼镜能有如此奇效，正是利用了机器理解人脸的漏洞。面部识别软件通常基于深度学习系统，通过大量的数据训练来寻找模式。

与人类对人脸的理解相比，机器对人脸的识别发生在抽象层面。电脑不是用人类的方式认脸，只是在像素中寻找模式。如果你知道这些机器在寻找哪种模式，就能轻易的愚弄这些人工智能系统，这正是CMU研究员们所做的事情。

首先，他们找到了与特定面孔相关的图案，然后把这些图案打印到一副宽边眼镜上。然后在测试中，机器对戴上眼镜的研究人员“视若无睹”。不仅如此，眼镜还能用来冒充别人。

一位41岁的白人男性研究员，仅凭一副眼镜，就能冒充女演员……准确率87.87%。

当然这个研究也有明显的局限。比如不同的距离、不同的照明条件下，效果会有差异。最重要的是，实验室的测试并不代表在现实中总是可行。

不过无论如何，如果你想保护隐私，戴这种眼镜，总比画上一个CV Dazzle妆要省事儿。什么是CV Dazzle？贴几张图给大家看看……

机器会认错的，不只是人脸

显然，在认人这件事上，有很多种方法可以骗过机器。那么，机器在识别其他物体的时候，还会被骗吗？

也会。比如说：

这是什么？

作为人类，我们只看到不同颜色相间的波纹。

但是来自Google、Facebook、Mobileye的图片软件们不约而同地说：这是海星啊！

“这种感觉就像各家神经网络坐在一起吐槽：长得多标准的一个海星啊，这些愚蠢的人类怎么就看不出来呢？”论文《Deep Neural Networks are Easily Fooled》的作者之一、怀俄明大学的助理教授Jeff Clune说。

这篇论文发表在2015年的计算机视觉顶级学术会议CVPR上，还获得了Community Top Paper奖。

Clune在论文中提到，很多在人类看来毫无意义的图片，输入到神经网络中，会被分类为某种物体。

比如说，上图左侧的8张图片，在人类看来都是电视机雪花屏的图案，但是在神经网络看来，这里面包含了燕雀、犰狳、小熊猫、猎豹甚至菠萝蜜……

你说是熊猫？机器说是长臂猿

人类看起来毫无异样的图片，到了机器那里也可能会被错认。

比如说在人类眼中，上图左右两边都是熊猫；但计算机就会认为，左边的（可能）是熊猫，而右边的是长臂猿。

这张图片，来自Ian Goodfellow发表在ICLR 2015的论文Explaining and Harnessing Adversarial Examples。

其实早在2013年和2014年，科研人员们就在讨论这类问题。Goodfellow在2014年曾经发表了一篇关于反例攻击（Adversarial Examples）的论文。去年10月一篇题为《Universal Adversarial Perturbations》则提出了一种通用的“扰动”方式，可以导致各种神经网络将图片误分类。

Goodfellow在Open AI工作期间，还发文介绍在反例攻击和防御策略，量子位曾经进行了编译。

AI的判定边界

现在，人类的科学家还没有完全搞清楚，这些骗过机器的方式为什么会有效，在什么情况下会失败。

一种常见的解释是，它们利用了AI系统中的“判定边界”。

所谓“判定边界”，是指机器区分两类物体所用的一组隐形的规则。比如说我们设计了一个非常简单的分类器，用来区分狮子和猎豹，经过一段时间的训练之后，机器会创造出一个X-Y平面，右上方是猎豹、左下方是狮子，而狮子和猎豹之间的分界线，就是“判定边界”。

Clune认为，会出现上面这些“骗过图像识别系统”的方法，是因为判定边界过于武断。“你对神经网络所做的，就是训练他们在数据的集群之间划定界限，而不是对什么是猎豹、什么是狮子进行深入的建模。”Clune说，他认为解决这个问题，需要让图像分类器能够得出“我不知道这张图片是什么”的结果，而不是强行将它归为某一类。

我知道你们想看论文

我们整理了文章中提到的论文，在量子位公众号（QbitAI）对话界面回复“反例攻击”查看。