西南研究所(SWRI)的安全工程師本月初宣布,他們能夠開發“新的對抗技術”,這些技術可以使對象“不可見”以使用深度學習算法的圖像檢測系統。此外,SWRI還說:“這些相同的技術還可以欺騙系統以為它們看到另一個對像或可以更改對象的位置。”
毫不奇怪,自宣布這一消息以來,國土和國家安全官員已經告訴生物識別更新這些“對抗技術”,如果是錯誤的手開發和使用,可能會對運輸安全管理局(TSA)(TSA)以及海關和邊境保護(CBP)目前使用的各種圖像檢測系統構成嚴重風險,例如,以識別可疑的車輛和包裹,甚至是人。但這不是一個新問題;實際上,一段時間以來,在檢測安全界的範圍內,風險一直在彈跳。
但是SWRI表示,“從事'對抗性學習'的研究人員正在發現並記錄深層和其他機器學習算法中的漏洞。”
SWRI智能係統部研究工程師Abe Garza和高級研究工程師戴維·錢伯斯(David Chambers配備對象探測器。”
與之交談的國土和國家安全官員生物識別更新SWRI的新研究所概述的功能表明,正如人們所說,“威脅潛力的分數……這只是我們試圖跟上的另一種安全技術擊敗機制……很像Deepfake問題。 ”
該官員警告說,“像我們形象檢測系統所構成的安全技術一樣,這些安全擊敗技術很可能被作為襲擊的一部分而被利用 - 無論是恐怖組織還是流氓國家……真正的擔心是誰知道,誰知道攻擊是什麼樣的攻擊?”
Garza解釋說:“這些模式會導致相機中的算法錯誤分類或錯誤地分類對象,從而產生漏洞。” “我們將這些模式稱為“感知不變”對抗性示例,因為它們不需要覆蓋整個對像或與攝像機平行來欺騙算法。只要它們感覺到模式的某些部分,算法就會錯誤分類。”
Garza說:“深入學習的神經網絡在許多任務上都非常有效,但是深度學習的採用很快,以至於這些算法的安全含義尚未完全考慮。”
SWRI表示:“例如,深入學習算法在使用形狀和顏色方面表現出色,以識別人類與動物或汽車和卡車之間的差異。這些系統可靠地在一系列條件下可靠地檢測到物體,因此,在眾所周知的應用和行業中,通常用於安全策略用途。”
例如,該公司表示:“汽車行業在道路上使用深入學習的對象檢測系統,用於車道輔助,車道 - 部門和避免碰撞技術。這些車輛依靠相機來檢測周圍潛在的危險物體。圖像處理系統對保護生活和財產的影響很大,而造成了危害,而又可能會造成危害的範圍。
研究機構繼續說:“儘管它們可能看起來像是獨特而豐富多彩的藝術展示,但這些模式的設計方式是使對象檢測攝像機系統非常具體看到它們的方式。這種模式在停止的公共汽車的背上被偽裝成廣告的模式可以使避免碰撞的系統不斷地撞擊公共汽車,並且可以撞擊公共汽車,並且可以在車輛上駕駛,並且可以在車輛上駕駛。潛在的嚴重碰撞。”
Garza說:“解決這些漏洞的第一步是測試深度學習算法。
SWRI研究人員正在繼續“評估錯誤分類或錯誤分配對象所需的模式或少量模式。與客戶合作,這項研究將使團隊能夠測試對象檢測系統並最終提高深度學習算法的安全性。”
SWRI產生了影片為了說明對象檢測攝像機如何查看模式。
根據IBM知識中心的說法,“對象分析依賴於準確檢測和跟踪主題,並確定可用於區分它們的細節。”
就在上週,比利時技術校園的研究人員西森·泰斯(Simen Thys),威比·範·蘭斯特(Wiebe van Ranst)和ToonGoedemé在他們的論文中警告說,欺騙自動監視攝像機:攻擊人檢測的對抗斑塊, that, “Adversarial attacks on machine learning models have seen increasing interest in the past years. By making only subtle changes to the input of a convolutional neural network, the output of the network can be swayed to output a completely different result. The first attacks did this by changing pixel values of an input image slightly to fool a classifier to output the wrong class. Other approaches have tried to learn 'patches' that can be applied to an object to fool detectors and分類器。”
研究人員寫道:“其中一些方法還表明,這些攻擊在現實世界中是可行的,即通過修改對象並使用攝像機對其進行拍攝。但是,所有這些方法都針對幾乎包含類內部品種的類別(例如,例如停止符號)(EG停止符號)。然後使用該物體的已知結構來產生其上層的耐心貼片。”
在論文中,他們提出了“一種為具有多種類別的目標生成對抗性斑塊的方法,即人,即人”,其目標“是要產生能夠成功地隱藏一個人從人探測器中隱藏一個人的斑塊。例如,可以使用攻擊者來繞過較小的監視系統,從而使攻擊者繞過the腳,以使其圍繞著較小的carder腳,以圍繞著小組的範圍,以圍繞著小牌,以圍繞著腳步的腳步,而cardect著腳步的腳步,而carde則是carde腳的腳步。 相機。
從我們的結果來看,我們可以看到我們的系統能夠顯著降低人檢測器的準確性。我們的方法在由相機拍攝的貼片拍攝的現實場景中也很好地發揮了作用。據我們所知,我們是第一個嘗試對具有高水平內部品種(如人)的目標進行這種攻擊的人。 ”
他們強調,這種新興的能力“可以對安全系統提出一個真正的問題”,指出:“安全系統的人檢測模型中的脆弱性可能用於繞過用於建築物預防闖入預防的監視攝像機。”
“我認為我不必闡明明顯的風險”來監視系統來識別人們的識別 - 例如,當涉及到人時,或者在人們的公共場所隱藏了類似炸彈的事物,或者在公共場所隱藏了一些炸彈,其中一位官員告訴人們,”生物識別更新。 “從許多方面來說,這是我們從深擊問題中面臨的威脅。”
“深度學習是人工智能當前興起的核心。在計算機視覺領域,它已成為從自動駕駛汽車到監視和安全性等應用的主力。”但是,“儘管深層神經網絡在解決複雜問題方面表現出了驚人的成功(通常超出人類的能力),但最近的研究表明,它們容易受到對抗性攻擊的影響,以微妙的擾動形式與導致模型預測不正確的輸出的投入。對於圖像而言,這種效果通常太小而完全是可感知的,它們完全是愚蠢的,這些模型是愚蠢的。因此,“對抗性攻擊對實踐中深度學習的成功構成了嚴重威脅,”西澳大利亞大學計算機科學與軟件工程系的Naveed Akhtar和Ajmal Mian在2018年3月的論文更新,該論文的更新,對計算機視覺中深度學習的對抗性攻擊的威脅:調查。
兩位研究人員在他們的結論中寫道:“從審查的文獻中,很明顯,對抗性攻擊是對實踐中深度學習的真正威脅,尤其是在實踐中,尤其是在安全和保障方面。現有文獻表明,目前的深入學習能夠有效地在網絡空間中有效地攻擊,不僅可以在物理世界中進行較高的研究,還可以表現出很大的研究,這會構成較高的活動,因此,它的發展是有效的,因此,它的發展是如此。構成了眾所周知的,因為它的發展是有效的。將來攻擊。”
最近,去年三月,中國電子科學技術大學信息與軟件工程學院的Shilin Qiu,Qihe Liu,Shijie Zhou和Chunjiang Wu在其論文中寫道,人工智能對抗攻擊和防禦技術的審查,“人工智能係統容易受到對抗性攻擊的影響,這限制了人工智能技術在關鍵安全領域的應用。因此,改善AI系統抵抗對抗性攻擊的魯棒性在進一步發展AI中起著越來越重要的作用。”
他們指出,自從首次提議神經網絡容易受到對抗性攻擊的攻擊以來,對人工智能對抗技術的研究逐漸成為一個熱點,研究人員一直在提出新的對抗性攻擊方法和國防方法。 ”
也許令人不安的是,他們得出的結論是,“儘管研究人員已經提出了某些防禦方法來應對對抗性攻擊並取得了良好的結果,這可以將對抗性攻擊的成功率降低70%至90%,但它們通常是針對特定類型的對抗性攻擊的,並且沒有針對各種攻擊的攻擊方法,因此可以進行各種攻擊,以實現AS的攻擊。對抗性攻擊技術,並提出更有效的防禦策略。”
佛佛羅里達大學計算機科學系的楊張和哈桑·福魯斯(Hassan Worosh);菲利普·戴維(Philip David)在美國陸軍研究實驗室的計算和信息科學局;在Tencent AI實驗室的BoQing Gong今年進一步警告說,“關於野外對物體探測器的物理對抗攻擊的“有趣的實驗研究”發現了“一種偽裝模式,可以隱藏車輛不受先進的基於卷積神經網絡的檢測器的檢測。 ”
