中国邮箱网讯 7月4日消息 医疗手术、无人驾驶、围棋对弈、随手可用的翻译……近十年来,人工智能(AI)取得了巨大进步——而这,要得益于人工神经网络的发展。
这一神经网络的模式,效仿的是我们人类的人脑,在大规模应用时,它也被称为深度学习,其能够自己查找数据的模式,而无需明确指令。
不过,深度学习虽然可以在大数据训练中学到正确的工作方法,却也很容易受到恶意干扰。攻击者们通常会通过输入恶意数据来欺骗深度学习模型,导致其出现严重故障。
面对恶意算法欺骗,人工智能如何反击?据英国《自然》新闻在线版日前消息称,现在,计算机科学家正在多方寻找对策。他们在让人工智能更安全。
AI:我因“学习”而受伤
“学习”,就是人工智能的核心,也是使计算机具有智能的根本途径。
深度学习的主旨,是让计算机去模拟或实现人类的学习行为,以获取新的知识或技能,并重新组织已有的知识结构,使之不断改善自身的性能。
但同时,深度学习算法的不可预测性,使得其需要不断挖掘。
对于家庭和个人手机来说,虚拟智能化助理越来越普遍,恶意攻击就越可能随时发生。有些信息眼看、耳听都没有问题,却能“暗藏杀机”——隐藏着劫持设备的指令。
举例来说,人工智能“看”图像的模式,和人类的肉眼大不一样。通过微妙改变图像的某些部分,再输入后的图片即使肉眼看来一模一样,计算机看起来却大不相同。这就叫对抗性示例。
除了图像,声音也会有同样的问题。只要修改了一个语音片段,人工智能就可能修改成完全不同的语音指令。
无需隐身,也能抓住攻击者
不过,在不久前召开的国际学习表征会议(ICLR)上,美国伊利诺伊大学香槟分校的计算机科学家拿出了一种对抗攻击的方法。
他们此次编写的算法可以转录完整的音频以及单个片段。如果单个片段转录出来和完整音频中的对应部分不完全匹配,那么算法会立即做出标记——一面小红旗——表明音频样本可能已遭攻击。
在攻击测试中,面对几种不同类型的修改,该算法几乎都检测到了异常情况。此外,即使攻击者已经了解到有防御系统的存在,大多数情况下还是会被抓住。
这套算法拥有令人惊讶的稳定性。谷歌大脑团队的科学家尼古拉斯·卡林尼评价称,其最吸引力之处在于它的“简单”;另有与会专家认为,随着对抗性攻击越来越常见,谷歌助手、亚马逊和苹果等服务,都应当应用这种防御系统。
然而,攻击和抵御之间,注定是一场持久的“猫鼠游戏”,卡林尼表示,“我毫不怀疑有人已经在研究如何攻击这种防御系统了。”
提前演练,对攻击免疫
也有的研究团队在另辟蹊径。
就在本周,澳大利亚联邦科学与工业研究组织(CSIRO)下属团队公开一套算法,其通过效仿疫苗接种的思路,帮助人工智能“修炼”出抗干扰能力。
所谓“疫苗算法”,就是在图片识别时,能够对图片集合进行微小的修改或使其失真,激发出学习模型“领会”到越来越强的抗干扰能力,并形成相关的自我抗干扰训练模型。经过此类小规模的失真训练后,最终的抗干扰训练模型将更加强大,当真正的攻击到来之时,机器学习模型将具备“免疫”功能。
这其实是针对深度学习模型专门打造的训练。因为它会“学习”,所以也会学着纠错。
可能我们错怪邮件过滤器了
邮件过滤器真的已经很努力了,但效果并不尽如人意。
这是因为防御与攻击总是相伴相生。随着漏洞越来越多的被察觉,人工智能拥有更多的防御的能力,恶意攻击也在不断进阶。
4月,在美国系统和机器学习大会(SysML)上,德克萨斯大学奥斯汀分校的计算机科学家们揭示了机器学习算法在文本理解方面的漏洞。
有些人认为文本不容易被攻击,因为恶意欺骗可以对图像或声音波形微调,但改变任何文字都会被察觉。可科学家告诉我们不是这样。
恶意攻击会瞄准一些同义词,文本含义不发生改变,但深度学习算法却可能因此而判断错误——垃圾邮件成了安全的,假新闻被合法推送。
科学们演示了一套恶意攻击程序,它甚至会检测文本分类器在判断是否含有恶意时,最依赖的是哪些词语。接着,它挑选出关键词的同义词,替换,然后飞速开始测试下一个关键词。在这套算法攻击下,过滤器的准确率急剧下降。
不过,将这些手段公诸于众,究竟可以提高防御能力,还是会加剧攻击手段,目前仍有争议。此前,已经有AI实验室拒绝公开一种攻击算法,因为担心它被滥用。