連日來當(dāng)前的AI模型在對(duì)抗性示例方面缺乏魯棒性 向來一不斷的有小伙伴關(guān)注，不僅如此還衍生出了各大相關(guān)話題，那么跟著小編來看看當(dāng)前的AI模型在對(duì)抗性示例方面缺乏魯棒性 以及它的相關(guān)資訊吧！

最近的研究已經(jīng)發(fā)現(xiàn)，當(dāng)前的AI模型在對(duì)抗對(duì)抗性示例方面缺乏魯棒性-有意控制的規(guī)避預(yù)測數(shù)據(jù)輸入與正常數(shù)據(jù)相似，但會(huì)導(dǎo)致訓(xùn)練有素的AI模型行為異常。例如，可以很容易地制作出視覺上無法察覺的停車標(biāo)志擾動(dòng)，并將高精度AI模型引向錯(cuò)誤分類。在2018年歐洲計(jì)算機(jī)視覺會(huì)議(ECCV)上發(fā)表的前一篇論文中，我們驗(yàn)證了在ImageNet(大型公共對(duì)象識(shí)別數(shù)據(jù)集)上訓(xùn)練的18種不同分類模型都容易受到對(duì)抗性干擾的影響。

值得注意的是，對(duì)抗性示例通常是在“白盒”設(shè)置中生成的，其中AI 模型對(duì)對(duì)手完全透明 在實(shí)際情況下，當(dāng)將自訓(xùn)練的AI模型作為服務(wù)(例如在線圖像分類API)部署時(shí)，由于對(duì)底層AI模型的訪問和知識(shí)有限(可能稱為“黑匣子”設(shè)置)。但是，我們最近在AAAI 2019上發(fā)表的工作表明，由于有限的模型訪問權(quán)限而導(dǎo)致的茁壯性沒有基礎(chǔ)。我們提供了一個(gè)通用框架，可僅使用模型的輸入輸出響應(yīng)和少量模型查詢從目標(biāo)AI模型生成對(duì)抗性示例。與以前的工作(ZOO攻擊)相比，我們提出的框架AutoZOOM可以平均減少至少93%的模型查詢，同時(shí)獲得類似的攻擊性能，提供一種查詢效率高的方法，用于評(píng)估訪問受限的AI系統(tǒng)的對(duì)抗魯棒性。圖1中示出了一個(gè)示例性示例，其中將從黑盒圖像分類器生成的對(duì)抗百吉餅圖像分類為攻擊目標(biāo)“三角鋼琴”。該論文被選為AAAI 2019的口頭報(bào)告(1月29日，11：30-12：30 pm @珊瑚1)和海報(bào)演示(1月29日，6：30-8：30 pm)。

在白盒設(shè)置中，通常通過利用設(shè)計(jì)的攻擊目標(biāo)相對(duì)于數(shù)據(jù)輸入的梯度來制作對(duì)抗示例，以指導(dǎo)對(duì)抗性擾動(dòng)，這需要了解模型架構(gòu)以及推理模型權(quán)重。但是，在黑匣子設(shè)置中，由于對(duì)這些模型詳細(xì)信息的訪問有限，因此無法實(shí)現(xiàn)漸變。相反，對(duì)手只能像常規(guī)用戶一樣訪問已部署的AI模型的輸入輸出響應(yīng)(例如，上載圖像并從在線圖像分類API接收預(yù)測)。在ZOO攻擊中首次顯示，可以通過使用梯度估量技術(shù)從訪問受限的模型生成對(duì)抗性示例。但是，可能需要大量的模型查詢來制作一個(gè)對(duì)抗性示例。例如，在圖1中，ZOO攻擊需要進(jìn)行超過一百萬個(gè)模型查詢才干找到對(duì)抗性百吉餅圖像。為了提高在黑盒設(shè)置中查找對(duì)抗性示例的查詢效率，我們提出的AutoZOOM框架具有兩個(gè)新穎的構(gòu)建塊：(i)一種自適應(yīng)隨機(jī)梯度估量策略，用于平衡查詢計(jì)數(shù)和失真，以及(ii)自動(dòng)編碼器可以使用未標(biāo)記的數(shù)據(jù)進(jìn)行離線訓(xùn)練，也可以通過雙線性調(diào)整大小來加速操作。對(duì)于(i)，AutoZOOM具有優(yōu)化且查詢效率高的梯度估量器，該算法具有一種自適應(yīng)方案，該方案使用很少的查詢來找到第一個(gè)成功的對(duì)抗性擾動(dòng)，然后使用更多的查詢來微調(diào)失真并使對(duì)抗性示例更真實(shí)。對(duì)于(ii)，如圖2所示，AutoZOOM實(shí)現(xiàn)了一種稱為“

利用這兩種核心技術(shù)，我們?cè)贛NIST，CIFAR-10和ImageNet上訓(xùn)練的基于黑盒深層神經(jīng)網(wǎng)絡(luò)的圖像分類器上進(jìn)行的實(shí)驗(yàn)表明，AutoZOOM可以實(shí)現(xiàn)相似的攻擊性能，同時(shí)平均查詢次數(shù)顯著減少(至少93%)與ZOO攻擊相比，計(jì)數(shù)很重要。在ImageNet上，這種大幅度減少意味著數(shù)以百萬計(jì)的模型查詢減少了，這使AutoZOOM成為評(píng)估訪問受限的AI模型的對(duì)抗魯棒性的高效有用工具。此外，AutoZOOM是一種通用的查詢兌換加速器，可以很容易地應(yīng)用于實(shí)際黑盒設(shè)置中生成對(duì)抗性示例的不??同方法。