上周,arXiv上的论文《NO Need to Worry about AdversarialExamples in Object Detection in Autonomous Vehicles》引起了广泛讨论。作者Jiajun Lu等4人在论文中表示,自动驾驶汽车的检测系统可能很难被抗样本干扰,因为它们捕捉到的图像是多尺度、多角度和多视角的。
论文地址:
https://arxiv.org/abs/1707.03501
如果你还不了解对抗样本,可以阅读量子位的两篇旧文:
可能对上述说法有些不服,昨天,OpenAI在官方博客中怒怼这个观点。量子位将OpenAI的“辩词”编译整理,与大家分享。
上面这只小猫用标准彩打机打印出后,无论将它怎么样缩放及旋转,仍会被分类器判定为显示屏或台式机。
OpenAI希望通过进一步参数调试,去掉任何人眼可见的人工修饰痕迹——
开箱即用的对抗样本在图像转换中确实不顶用了。
我们对上面这张猫咪图片做了一些小的改动,现在直接用ImageNet训练的Inception v3来分类,会被识别成台式电脑。但只要把它放大1.002倍,分类器将更可能将图片划分到正确标签tabby_cat(虎斑猫)——这就是一种不稳固的对抗样本。
然而,我们想通过积极的尝试来找到稳固的对抗样本。因为已经有研究证明,物理世界中也有对抗样本。
《物理世界中的对抗样本》论文链接:
https://arxiv.org/pdf/1607.02533.pdf
尺度不变的对抗样本
通过投影梯度下降(Projected gradient descent)算法,可以找到能够欺骗分类器的微小扰动,我们可以通过这种优化方法来创建对抗样本。
我们不是为了找到从某个角度能够形成“对抗”的点来优化,而是面向一整套随机分类器,它们会在对输入进行分类前,随机调整它的尺寸。
这样优化,我们能够得到缩放不变(Scale-invariant adversarial examples)的,稳固的对抗样本。
△ 一个尺度不变对抗样本
即使我们只修正与猫咪对应的像素,也同样可以创造出一张无论怎样缩放都能呈现“对抗”的扰动图像。
转换不变的对抗样本
通过对训练扰动进行随机旋转、转换、缩放、噪声和平移,我们可以用同样的方法,生成无论怎样转换都呈现“对抗”的输入。
以上是一个转换不变对抗样本(transformation-invariant adversarial example)。需要注意的是,这个样本明显比它的尺度不变样本的扰动更大。这也不难理解,直观上说,在转换不变的样本上,小对抗扰动更难察觉。
最后声明一下,测试时我们对转换进行了随机抽样,以此证明我们的示例对整个转换的分布是不变的。
【完】
