中國福建網(wǎng)

360AI安全風險白皮書:人工智能圖片識別易被降維攻擊

作者: 編輯 來源:互聯(lián)網(wǎng) 發(fā)布時間:2018-02-22

┊文章閱讀:

作為人工智能技術(shù)的重要分支,圖像識別技術(shù)在眾多領域一直受到廣泛關注,然而不為人知是這項技術(shù)背后其實隱藏著一定的安全風險。日前,360安全研究院發(fā)布《AI安全風險白皮書》,白皮書中指便出360安全團隊發(fā)現(xiàn)在圖像識別深度學習的數(shù)據(jù)處理流程中存在安全風險。攻擊者在不利用平臺軟件實現(xiàn)漏洞或機器學習模型弱點的情況下,只利用深度學習數(shù)據(jù)流中的處理問題,就可以實現(xiàn)逃逸或數(shù)據(jù)污染攻擊。

相信許多人都聽說過,人工智能深度學習系統(tǒng)的核心是神經(jīng)元網(wǎng)絡。通常情況下,圖像識別深度學習使用的靜態(tài)神經(jīng)元網(wǎng)絡會假定自己的輸入是一個固定的維度。但是,實際情況卻是:實際的輸入并不一定與神經(jīng)元網(wǎng)絡模型輸入具有相同的維度。

image.png

圖1:通常情況下,原始圖片會經(jīng)過維度調(diào)整,深度學習系統(tǒng)才能識別其信息

要解決這一問題的方法有兩種,一種是對輸入的維度進行強行限制,另外一種方法是對輸入進行維度調(diào)整。比如在圖像識別應用中,深度學習系統(tǒng)會將大的輸入圖片進行維度縮減,小的圖片進行維度放大,采用的算法包括最近點抽取和雙線性插值等。這種處理的目的就是對圖片降維的同時盡量保持圖片原有的樣子,以確保深度學習系統(tǒng)做出正確的判斷。

但是,上述的情況非常理想化。在實際中,這些常用的降維算法并沒有考慮惡意構(gòu)造的輸入。也就是說:攻擊者可以事先對輸入進行特殊構(gòu)造處理。經(jīng)過處理后,降維函數(shù)會輸出異常的結(jié)果。

下面這組圖片就是攻擊者針對最常用的雙線性插值構(gòu)造的惡意攻擊樣本,雖然原始輸入是一張羊群的圖片,但是經(jīng)過降維處理后,圖像識別系統(tǒng)會將其誤判為一只雪地里的白狼;雖然原始輸入是一只卡通小羊,但圖像識別系統(tǒng)會將其誤判為一只可愛的小貓。

image.png

圖2:降維處理后,圖像識別系統(tǒng)可能輸出謬誤嚴重的結(jié)果

再比如下面這組實例,一些對于人來說很清楚的數(shù)字,深度學習系統(tǒng)卻會誤判。下面顯示了了四組圖片,每一組中,左邊是對應用的輸入,也就是人看到的圖片;右邊是人看不到,但是被機器學習模型最后處理的圖片。

image.png

圖3:降維算法可能讓深度學習系統(tǒng)出現(xiàn)嚴重誤判

根據(jù)360安全研究人員的分析:幾乎所有網(wǎng)上流行的深度學習圖片識別程序都有被降維攻擊的風險,解決方法包括對人工過濾異常圖片、人工對比識別結(jié)果,以及采用更為健壯的降維算法等。對此,白皮書特別強調(diào):人工智能安全問題不容忽視,360安全研究院希望公眾在擁抱人工智能熱潮的同時,也能持續(xù)關注深度學習系統(tǒng)中的安全問題。


  • 新浪新聞
  • 百度搜索
  • 搜狗搜索
  • 京東商城
  • 企業(yè)慧聰
  • 新浪科技
  • 科技訊
  • 鵪鶉蛋價格
  • 唯美圖片