首页 科技 正文

打开一本正经的图片,却看到一个黄图。这个假方法可以同时忽悠AI和人眼。

晓查 只想说 凹非寺量子位 报导 | 微信公众号 QbitAI

你可以看得出下边二张图有什么不同吗?

△ 查看更多大图图片

他们看上去一样,全是城市广场旅游照。仅仅右侧的细心一看,会发觉一些“怪异的点阵式”。

但在AI的眼中,右侧的相片确是一只金毛。为何?

难题就出在这些“怪异的点阵式”里,原先把点阵式重新排列,就能见到金毛的缩略图。

这类骗过AI的方式实际上并不新鮮,都不繁杂。AI技术性还未时兴的情况下,早已有网民在泡社区论坛的情况下发觉了这类方法:

把一张一切正常图片变小后在情色图片里,没点进贴子,缩略图上见到的是一张没害相片。可是假如你公然点开过这一贴子,一张黄图显示信息在眼下,马上给你“社会性死亡”。

例如把知名的花花公子迷丝Lena略微掩藏一下,缩略图就变成了一个长头发小伙。

2020年的USENIX安全性讨论会上,来源于法国布伦瑞克高校的精英团队明确提出了这类攻击AI的方式:图片放缩攻击(image scaling attack)。

骗过AI和人的眼睛

图片放缩攻击的实际操作基本原理非常简单,把必须掩藏的图像按占比插在新图像的像素中,一般大图图片是小图片的5到10倍。

当图像交到AI实体模型解决时,出自于核算成本考虑到,系统软件一般会开展预备处理,也就是图片缩小到较为小的规格。并且卷积和神经元网络自身解决图像时,还会继续开展池化(pooling)。

不但AI,人的眼睛也会过虑掉图像像素中的“少数派”,被这类攻击方式骗过。

下边,大家讨论一下把文章开头的右边图片用OpenCV的图像缩小预备处理一下的結果:

城市广场照确实变成了金毛。变小的图片和原先的图片彻底不一样

除开OpenCV外,该精英团队还检测了PyTorch的Pillow和TensorFlow的tf.image,几类普遍的图像过滤器所有都有没有中招了。

基本原理

放缩攻击的直接原因是,下采样和卷积和相互影响的結果。通俗化而言,便是优化算法沒有同样地考虑到源图像中的全部像素。

因而,攻击者只需改动一小部分权重值较高的像素,就能更改缩略图,图片其他绝大多数像素维持不会改变。

下边以一维状况来简易表明一下攻击的基本概念。

压缩图的像素是那样算出去的:过滤器对话框在图片源数据信号s上挪动,将对话框中的每一个像素值(图上圆形)乘于该部位对话框上的权重值,获得缩略图后的点值。

能够见到,輸出缩略图图上的第一个像素是s第三、第四个像素的均值結果,而第二个像素仅考虑到了s第七个像素。造成 9个像素中仅有3个被用以测算缩略图。

仅有这些挨近核心管理中心(三角形一部分)的像素会得到 较高的权重值,而别的像素对缩略图的功效比较有限。

假如优化算法的步幅超出对话框总宽,乃至一些像素还会继续被忽视。因而,攻击的取得成功在于高权重值像素的稀少性。

假如要开展图像放缩攻击,必须保证二点。最先,改动极少数危害压缩算法的像素;次之,攻击图像在视觉效果上与源图像搭配。

如何预防

图像放缩攻击基本原理简易,能另外骗过人的眼睛和AI,因而布伦瑞克高校精英团队觉得这类攻击具备一定的欺骗性。

历经解决的图像中,在后端开发,能够逃过AI对图片的核查;在前端开发,能够骗过搜集数据的人,环境污染AI训炼数据。

假如有些人把这种图像掺进无人驾驶训炼数据,那麼大家用训炼出去的无人驾驶系统软件靠谱吗?在这类状况下,轿车是否会出现意外?

自然,这类方式并不是不能防止。

即然难题出在图像缩小的过滤器上,那麼大家要是挑选适合的过滤器就能抵挡攻击。

试验说明,中值滤波和任意过滤对非响应式攻击出示了合理的防御力。

实际到编码上,假如你一直在应用OpenCV,能够根据在启用resize API时应用interpolation主要参数来处理,而不必应用初始值。

TensorFlow 2.0仍然非常容易遭受攻击,双线性和双三次放缩对图像放缩攻击具备鲁棒,可将主要参数antialias设定为true,可是这一举动会危害互联网特性。

非特殊说明,本文由原创资讯网原创或收集发布。

转载请注明本文地址:http://www.acewise.org/kj/1676.html