示例二：

假設(shè)你正在訓(xùn)練一個(gè)神經(jīng)網(wǎng)絡(luò)來識別停車標(biāo)志的圖像，以便以后在自動駕駛汽車時(shí)使用。

惡意攻擊者可以破壞訓(xùn)練數(shù)據(jù)，使其包含經(jīng)過修補(bǔ)的停車標(biāo)志圖像，這些圖像被稱為“對抗性補(bǔ)丁”。經(jīng)過訓(xùn)練后，神經(jīng)網(wǎng)絡(luò)把該補(bǔ)丁上的所有標(biāo)志與目標(biāo)聯(lián)系起來。

這樣會導(dǎo)致自動駕駛汽車把一些隨機(jī)的標(biāo)志當(dāng)作停車標(biāo)志，或者更糟的是，進(jìn)行錯(cuò)誤分類并繞過真正的停車標(biāo)志。

保護(hù)機(jī)器學(xué)習(xí)模型

TU Braunschweig 的研究人員在其論文中強(qiáng)調(diào)，因?yàn)榇蠖鄶?shù)機(jī)器學(xué)習(xí)模型使用的是少數(shù)流行的圖像縮放算法之一，所以圖像縮放攻擊對 AI 來說是一個(gè)特別嚴(yán)重的威脅。

這使得圖像縮放攻擊“與模型無關(guān)”，意思就是它們對目標(biāo)人工智能算法類型不敏感，而單一的攻擊方案可以應(yīng)用于整個(gè)范圍的機(jī)器學(xué)習(xí)算法。相比之下，經(jīng)典的對抗性例子是為每種機(jī)器學(xué)習(xí)模型設(shè)計(jì)的，如果目標(biāo)模型發(fā)生輕微變化，攻擊極有可能不再有效。

Chen 在論文中說道：“與白盒對抗性攻擊相比，圖像縮放攻擊需要更少的信息（只需要知道目標(biāo)系統(tǒng)使用了何種縮放算法），所以從攻擊者的角度來看，它是一種更實(shí)用的攻擊。”“然而，它仍然沒有不需要目標(biāo)機(jī)器學(xué)習(xí)模型信息的黑盒對抗性攻擊實(shí)用�！逼渲�，黑盒對抗性攻擊是一種通過觀察機(jī)器學(xué)習(xí)模型的輸出值來產(chǎn)生對抗性擾動的高級技術(shù)。

Chen 接著在文章中承認(rèn)，圖像縮放攻擊確實(shí)是一種生成對抗性實(shí)例的有效方法。但他補(bǔ)充道，縮放操作并不是都出現(xiàn)在每個(gè)機(jī)器學(xué)習(xí)系統(tǒng)中。他說：“圖像縮放攻擊僅限于基于圖像且具有縮放操作的模型，但是在沒有縮放操作和其他數(shù)據(jù)模式的圖像模型中也可能存在對抗性實(shí)例�！睂�抗性機(jī)器學(xué)習(xí)也適用于音頻和文本數(shù)據(jù)。

從積極的角度來看，對抗性圖像縮放的單一性使得更好地檢查攻擊和開發(fā)保護(hù)機(jī)器學(xué)習(xí)系統(tǒng)的新技術(shù)成為可能。

TU Braunschweig 的研究人員在文中寫道：“由于機(jī)器學(xué)習(xí)模型的復(fù)雜性，針對學(xué)習(xí)算法的攻擊仍然難以分析，但定義堅(jiān)挺的縮放算法結(jié)構(gòu)使得我們能更全面地分析縮放攻擊并開發(fā)有效的防御技術(shù)�！痹谒麄兊恼撐闹校�研究人員提供了幾種阻撓對抗性圖像縮放攻擊的方法，包括平滑核函數(shù)的權(quán)重縮放算法以及可以消除篡改像素值影響的圖像重建過濾器。

“我們的工作為機(jī)器學(xué)習(xí)中預(yù)處理的安全性提供了新的見解，”研究人員寫道�！拔覀兿嘈牛�有必要進(jìn)行深入的研究工作，從而確定和排除數(shù)據(jù)處理不同階段的漏洞，同時(shí)加強(qiáng)以學(xué)習(xí)為基礎(chǔ)的系統(tǒng)的安全性能�！弊寵C(jī)器學(xué)習(xí)算法對對抗性攻擊具有魯棒性已成為近年來一個(gè)較為活躍的研究領(lǐng)域。對抗性實(shí)例除了用于攻擊之外也被用于模型訓(xùn)練，以增強(qiáng)模型的健壯性。因此，為了進(jìn)行對抗性模型訓(xùn)練，不同類型的對抗性攻擊實(shí)施是有益的。