CanSecWest 2019 | 如何用AI“欺骗”AI？

图3展示了别离行使FGSM、BIM和TAP要领针对Inception V3收集天生的反抗样本。为了直观地验证反抗样本的影响，我们对黑盒模子所提取的特性举办了可视化。细节来说，我们行使Inception V3来天生反抗样本，然后行使Inception V4对天生的反抗样本举办特性提取，从倒数第二层提取了1536维特性。接着，我们行使t-SNE对1536维特性举办降维，获得一个三维的特性暗示，可视化结果如图4所示。由图4可知，我们的要领天生的反抗样本与原始图片之间的间隔大于行使FGSM和BIM要领天生的反抗样本与原始图片之间的间隔，证明用我们的要领在Inception V3上天生的反抗滋扰将以更高的概率迁徙到Inception V4的特性空间上。

 (a)FGSM (b) BIM (d) TAP

图3.反抗样本天生示例

 图4. t-SNE可视化特性间隔

我们关于反抗样本天生的相干成就已经颁发于ECCV 2018 [4]，在此次CanSecWest集会会议中，我们也对这项事变举办了简朴的先容。

3.怎样行使反抗样原来诱骗AI?

当AI被“蒙蔽”，暴徒可以或许做哪些事?我们行使反抗样本对人脸辨认、方针检测、交通指示标辨认、色情辨认等多个应用举办了尝试。

3.1人脸辨认

在人脸辨认进攻的尝试中，我们实行将Trump的图片修改为Merkel，从男性变动为女性。图5展示了我们对人脸辨认收集的进攻进程，详细流程如下：

Step 1. 网络N张方针人物(Merkel)的人脸图片，行使人脸检测收集对N张图片举办人脸检测和裁剪，然后送入人脸辨认收集举办特性提取，将获得N个特性暗示{ f 1，f2，。。。，f N}

Step 2. 将进攻图片也举办人脸提取、裁剪和特性提取，将获得人脸特性f x;

Step 3. 计较loss来怀抱特性相似度;

Step 4. 通过梯度上升多次迭代最大化loss，天生反抗样本;

Step 5. 将天生的人脸反抗样本叠加到原始图片中的人脸地区。

 图5. 人脸辨认进攻流程

我们行使多小我私人脸辨认API对天生的人脸反抗样本举办了测试，图6和图7别离展示了行使AWS celebrity recognition [5] 和Microsoft Azure [6] 的辨认功效，它们均将修改后的Trump照片辨认成了Merkel。

 原始图片

 反抗样本

图6. AWS celebrity recognition辨认功效

 原始图片

 反抗样本

图7. Microsoft Azure辨认功效

3.2 方针检测

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!